Dark
Light
Por 

Cibercriminosos recorrem ao contacto presencial para roubar dados diretamente dos equipamentos das organizações

O FBI alerta para a evolução do método de roubo de informações utilizado pelo Silent Ransom Group, que envia pessoas aos escritórios da vítima para extrair os dados com um dispositivo de armazenamento. Por enquanto, este caso só foi documentado nos Estados Unidos, mas é preciso estar muito atento.
3 de Junho, 2026

A Divisão Cibernética do FBI dos Estados Unidos alertou, através de dois comunicados (aqui o primeiro e o segundo), para uma mudança no modus operandi do grupo de cibercriminosos Silent Ransom Group (SRG) que, embora opere nos Estados Unidos, longe de não afetar as organizações daqui, é bom conhecer o assunto porque é possível que um caso semelhante venha a ocorrer na Europa.

Nas suas origens, o SRG tornou-se conhecido por uma técnica denominada callback phishing ou phishing de retorno de chamada, uma variante da fraude eletrónica que combina o e-mail com o telefone. O procedimento começava com o envio de mensagens fraudulentas nas quais os atacantes se faziam passar por empresas conhecidas que comercializam serviços de assinatura. Esses e-mails notificavam a cobrança de pequenas quantias, montantes reduzidos escolhidos deliberadamente para não levantar suspeitas.

Para cancelar a suposta assinatura, a vítima era instruída a ligar para os criminosos, que, em seguida, enviavam um link que baixava um programa de acesso remoto, ou seja, uma aplicação que permite controlar um computador à distância. Com esse software instalado, os atacantes obtinham acesso permanente ao sistema, localizavam as informações de valor e, uma vez subtraídas, enviavam uma nota de resgate ameaçando divulgar os dados caso o montante exigido não fosse pago.

O grupo especializou-se em atacar escritórios de advogados sediados nos Estados Unidos, uma vez que as informações que estas organizações manejam são de natureza especialmente sensível, e apesar de a organização ter causado vítimas noutros setores, como o da saúde, o dos seguros e o financeiro.

Mas a última e relevante mudança na sua atividade criminosa começou a ser detetada em abril do ano passado, 2025, tornando-se mais evidente ao longo desta primavera de 2026: os atacantes passaram a fazer-se passar por funcionários do próprio departamento de informática da empresa atacada que, através de chamadas diretas ou e-mails de phishing, incentivam os trabalhadores a contactar por telefone o suposto serviço de suporte. Durante essa conversa, o criminoso tenta que o funcionário lhe conceda acesso a uma sessão de ambiente de trabalho remoto, ou seja, o controlo do seu computador a partir de outro equipamento.

Quando essa via falha, o grupo recorre a um método pouco habitual neste tipo de crimes: envia uma pessoa fisicamente às instalações da vítima, que, apresentando-se como técnico, explica que precisa de fazer uma cópia ou uma imagem do equipamento para resolver as consequências do e-mail fraudulento, e aproveita a ocasião para introduzir um dispositivo de armazenamento no computador e copiar a informação. Uma vez dentro do computador, os atacantes apenas ampliam as suas permissões de acesso e dirigem-se rapidamente à extração de dados.

Ao contrário do ransomware convencional, o SRG não encripta os ficheiros da vítima, limitando-se a roubá-los para depois a extorquir com a sua publicação ou venda. Para extrair a informação, utilizam ferramentas legítimas de transferência de ficheiros como o WinSCP ou uma versão oculta ou renomeada do Rclone e, por vezes, transferem-na para plataformas de armazenamento na nuvem como o Google Drive ou o Microsoft OneDrive. Nas intrusões presenciais, os dados acabam num disco rígido externo ou numa pen USB ligada pelo próprio intruso.

A fase de extorsão concretiza-se através de um e-mail em que se ameaça vender ou divulgar o material subtraído. Os criminosos também telefonam a funcionários e clientes da entidade afetada para forçar o início das negociações do resgate. O grupo dispõe de um site público, denominado business-data-leaks[.]com, no qual chega a publicar as informações das vítimas, embora nas primeiras observações se tenha constatado uma utilização irregular dessa plataforma.

Porque é difícil de detetar

A principal dificuldade em travar estas campanhas reside no facto de deixarem muito poucos vestígios nos equipamentos comprometidos e de os programas antivírus tradicionais terem poucas possibilidades de as detetar, uma vez que o SRG utiliza ferramentas legítimas de administração e acesso remoto. Por esse motivo, as autoridades sublinham que a utilização dessas aplicações não deve ser interpretada como maliciosa sem provas que o comprovem.

Entre os sinais que podem indicar uma intrusão contam-se as transferências não autorizadas de utilitários de gestão ou acesso remoto, como o Zoho Assist, Quick Assist, AnyDesk, RustDesk, Syncro, Splashtop ou Atera; a instalação não autorizada de discos rígidos externos ou pen drives; a saída de dados para o OneDrive, Google Drive ou servidores externos; as ligações do WinSCP ou Rclone a um endereço de Internet externo à empresa; os alertas de extração de informação; a presença de pessoas não identificadas que afirmam ser do suporte informático; e as chamadas, e-mails ou mensagens de voz, dirigidas tanto a funcionários como a clientes, nas quais um grupo anónimo afirma ter roubado dados.

No plano da prevenção, o FBI aconselha a verificação da identidade de todas as pessoas que acedem às instalações, incluindo a obtenção de uma cópia do documento de identificação de cada visitante, bem como a limitação do acesso a informações sensíveis a partir de redes pouco seguras, como as domésticas ou públicas.

Da mesma forma, recomenda estabelecer e comunicar protocolos claros sobre como o pessoal de informática se identificará perante os funcionários, formar o pessoal na deteção de phishing, manter cópias de segurança periódicas e exigir autenticação multifator resistente à suplantacão, um sistema que requer mais do que uma prova para validar a identidade de um utilizador.

Como medidas técnicas adicionais, propõe bloquear a porta 22 (utilizada para o acesso remoto encriptado e a transferência de ficheiros) e desativar o acesso remoto e a ligação de unidades externas nos computadores que tratam de dados confidenciais. Nos Estados Unidos, o FBI solicita às organizações afetadas as informações que possam partilhar legalmente, entre as quais cópias das notas de resgate, os números de telefone e contas de e-mail utilizados, as transcrições das comunicações, as mensagens ou e-mails iniciais da fraude, os dados das carteiras de criptomoedas e os elementos que permitam identificar quem se apresenta como técnico, incluindo gravações das câmaras de segurança.

É importante ter em conta este tipo de ataques que incluem a presença física dos cibercriminosos, uma vez que a tendência pode chegar ao velho continente à medida que se espalha também pela Internet.

Relacionados