FBI : Silent Ransom Group cible les cabinets d'avocats

Des attaques hybrides inédites contre le secteur juridique

Le Federal Bureau of Investigation (FBI) a publié une alerte de cybersécurité officielle mettant en garde les cabinets d'avocats américains contre un mode opératoire particulièrement élaboré du Silent Ransom Group (SRG). Ce groupe d'extorsion, également connu sous les alias Luna Moth, Chatty Spider et UNC3753, opère depuis au moins 2022 et a intensifié ses opérations contre le secteur juridique depuis le début de l'année 2023, selon les données recueillies par le FBI et relayées par BleepingComputer et le HIPAA Journal.

Ce qui distingue le SRG de la majorité des groupes cybercriminels classiques, c'est l'intégration d'une composante physique dans sa chaîne d'attaque. Dans le scénario documenté par le FBI, les acteurs du groupe usurpent l'identité du service informatique de l'entreprise ciblée. Ils prennent d'abord contact par téléphone ou par e-mail de phishing en se faisant passer pour un technicien IT interne, puis convainquent un employé de rappeler un numéro sous contrôle du groupe. Une fois la communication établie, ils demandent à la victime d'autoriser une session de bureau à distance — classiquement via des outils légitimes comme AnyDesk, TeamViewer ou RustDesk — permettant l'exfiltration directe des données sensibles stockées sur le poste de travail.

Mais c'est lorsque cette première tentative échoue que la tactique devient véritablement inédite : le groupe envoie physiquement un de ses membres dans les locaux de l'entreprise. Muni d'un prétexte crédible, ce complice tente de brancher un dispositif de stockage USB directement sur les machines du cabinet, contournant ainsi toutes les protections réseau et les mécanismes de détection d'intrusion distante. Ce scénario d'intrusion physique, documenté dans l'alerte officielle du FBI référencée sous l'identifiant 052325, représente une escalade tactique majeure rarement observée dans le cadre d'opérations d'extorsion de données.

Une fois en possession des données volées, le SRG adresse aux victimes un e-mail d'extorsion menaçant de publier ou de revendre les informations sur leur site de fuite accessible en clair sur Internet — contrairement aux opérateurs de ransomware traditionnels qui utilisent le dark web. Le groupe va plus loin en contactant directement les clients et les employés du cabinet victime pour amplifier la pression psychologique et forcer l'ouverture de négociations. Selon des déclarations obtenues par DataBreaches.net, le SRG affirme que la majorité de ses victimes finissent par payer, ce qui implique que le nombre réel d'entreprises compromises dépasse largement les cas documentés publiquement.

Les données de publication sur le site de fuite du groupe font état d'au moins 36 cabinets d'avocats ayant refusé de payer, avec une estimation portant à plus de 76 le nombre total d'organisations ciblées si l'on intègre les victimes ayant cédé aux demandes d'extorsion. Parmi les victimes identifiées publiquement figurent des acteurs de premier plan : Jones Day, l'un des plus grands cabinets d'avocats au monde avec plus de 40 bureaux internationaux, ainsi qu'Orrick, Herrington & Sutcliffe et Wood Smith Henning & Berman. L'Oklahoma Bar Association a également diffusé une alerte auprès de ses membres, signe que la mobilisation s'étend désormais aux associations professionnelles du barreau.

Les données détenues par les cabinets d'avocats constituent une cible de choix pour les groupes d'extorsion, car elles contiennent des informations hautement confidentielles sur des transactions commerciales, des litiges en cours, des secrets industriels et des données personnelles de clients souvent influents. La valeur de ces données sur les marchés criminels est proportionnellement élevée, et le risque de réputation pour les cabinets qui en perdraient le contrôle est considérable — ce qui explique le taux de paiement élevé observé par le SRG.

L'alerte du FBI précise que le SRG ne déploie pas de ransomware à proprement parler : le groupe n'encrypte pas les systèmes de ses victimes, il se contente d'exfiltrer les données puis d'exercer une pression par la menace de publication. Ce modèle, parfois qualifié d'extorsion pure ou de data-only extortion, est plus difficile à détecter car il ne génère pas d'indicateur visible comme un chiffrement de masse des fichiers. La menace reste silencieuse jusqu'à la réception du message de rançon — d'où le nom choisi par le groupe. Selon Dark Reading, ce modèle d'extorsion sans chiffrement est en forte croissance depuis 2024.

Sur le plan technique, le SRG exploite principalement des outils d'accès distant légitimes pour mener ses opérations, ce qui complique leur détection par les outils EDR et SIEM conventionnels. L'utilisation de logiciels signés et reconnus comme AnyDesk ou TeamViewer permet aux attaquants de passer sous le radar des solutions de sécurité qui n'appliquent pas de politique de liste blanche stricte sur les outils d'administration à distance. Halt Cyon et Pivot Point Security ont tous deux publié des analyses techniques approfondies du mode opératoire observé dans cette campagne.

Un secteur juridique structurellement vulnérable face aux menaces hybrides

L'intensification des attaques contre les cabinets d'avocats reflète une tendance de fond observée depuis plusieurs années dans le paysage des menaces cybercriminelles. Le secteur juridique est souvent qualifié de "château d'eau" de l'information sensible : les cabinets centralisent des données concernant des fusions-acquisitions non annoncées, des procédures judiciaires sous confidentialité, des données de propriété intellectuelle et des informations personnelles à haute valeur. Selon les rapports annuels de l'American Bar Association sur la cybersécurité, plus d'un tiers des cabinets américains ont déjà été victimes d'une violation de données, et ce chiffre dépasse la moitié pour les structures de grande taille.

La particularité du modèle opératoire du SRG réside dans son exploitation ciblée des failles humaines plutôt que techniques. Les entreprises du secteur juridique ont généralement renforcé leurs défenses périmètriques depuis les grandes vagues de ransomware des années précédentes, mais l'investissement dans la formation des collaborateurs aux techniques d'ingénierie sociale reste inégal. Le vishing — contraction de voice phishing — exploite la confiance accordée aux interlocuteurs téléphoniques et la pression temporelle souvent exercée lors de prétendus incidents IT.

L'introduction d'une composante physique dans la chaîne d'attaque constitue un précédent préoccupant. Des groupes comme Scattered Spider avaient déjà combiné ingénierie sociale téléphonique et intrusion dans des espaces physiques lors de leurs opérations contre des casinos américains en 2023, et le SRG semble avoir adopté une approche similaire. Cette évolution impose aux équipes de sécurité de repenser leur modèle de menace pour intégrer des scénarios hybrides croisant frontières cyber et physique.

Du point de vue réglementaire, les cabinets d'avocats américains sont soumis aux règles déontologiques de leur barreau respectif, qui incluent une obligation de compétence technique et de protection des données clients. Plusieurs barreaux d'État ont émis des avis précisant que les avocats ont l'obligation éthique de mettre en place des mesures raisonnables de cybersécurité. Une violation de données causée par une négligence dans ce domaine pourrait exposer les cabinets non seulement à des poursuites civiles, mais également à des sanctions disciplinaires.

Ce qu'il faut retenir

• Le Silent Ransom Group cible les cabinets d'avocats américains avec une méthode combinant vishing, accès distant et présence physique sur site — une escalade tactique documentée officiellement par le FBI dans son alerte 052325.
• Le groupe pratique l'extorsion sans ransomware : il vole les données sans chiffrer les systèmes, rendant la détection plus difficile et le modèle plus discret mais tout aussi dévastateur pour la réputation des victimes.
• Les cabinets doivent appliquer une politique stricte de vérification d'identité pour toute demande d'accès distant, bloquer les outils RAT non approuvés, et former leurs collaborateurs à reconnaître les scénarios de vishing IT.