Silent Ransom Group : quand de faux techniciens infiltrent les entreprises

Le Silent Ransom Group révolutionne la cybercriminalité en combinant ingénierie sociale, outils légitimes et même intrusion physique pour infiltrer les entreprises. Ce groupe ne se contente plus d’attaques classiques par ransomware, mais mise sur la ruse via :

• De faux mails sans pièces jointes ni liens malveillants
• Des appels téléphoniques crédibles de faux supports IT pour accéder aux systèmes
• Une visite physique de faux techniciens portant clé USB si l’accès distant est refusé

Ce mode opératoire hybride, détaillé par le FBI et Google, met en lumière une menace nouvelle dans la sécurité informatique : des cyberattaques où le facteur humain devient le maillon faible essentiel. Nous examinerons ici qui est ce groupe, comment il opère, les données qu’il cible, ainsi que les meilleures stratégies pour protéger efficacement votre entreprise.

A lire également : ChatGPT prend le contrôle de vos achats : 5 dangers réels pour votre carte bancaire et les stratégies pour s’en prémunir

Silent Ransom Group : un gang cybercriminel spécialisé dans l’infiltration d’entreprise par de faux techniciens

Le Silent Ransom Group, également connu sous les noms UNC3753, Luna Moth ou Chatty Spider, est apparu en mars 2022 à la suite du démantèlement du groupe Conti. Ce collectif de cybercriminels ne joue plus la carte des ransomwares classiques. Leur force ne réside pas dans l’exploitation de failles techniques spectaculaires mais dans une discipline opérationnelle, une ingénierie sociale sophistiquée et surtout dans une volonté d’agir en toute discrétion.

Plutôt que d’ installer des logiciels malveillants, ils privilégient des outils légitimes tels qu’AnyDesk ou WinSCP pour retirer des données sensibles, et une méthode unique : la présence physique d’un faux technicien dans les bureaux de la victime si l’accès à distance est refusé. Cette approche a été formellement dénoncée dans un announcement conjoint du FBI et de Google début juin 2026, marquant une nouvelle ère dans les attaques informatiques où l’infiltration humaine pèse autant que la cyberattaque proprement dite.

Lire également : ChatGPT prend le contrôle de vos achats : 5 dangers réels pour votre carte bancaire et les stratégies pour s’en prémunir

Pourquoi ce gang ne déploie pas de ransomware traditionnel ?

Le Silent Ransom Group a ajusté sa stratégie à l’évolution du marché de l’extorsion numérique. Selon le rapport Verizon DBIR 2026, 69% des victimes de ransomware refusent désormais de payer. Cette baisse notable du paiement a poussé ce groupe à renoncer au chiffrement des données en échange d’une rançon, pour privilégier le vol de données et la double extorsion. Ils menacent alors la publication sur un site dédié (Data Leak Site) et le contact direct avec les clients des victimes, multipliant ainsi la pression sans avoir besoin de déployer de ransomware lourd.

Cette adaptation rend la menace plus difficile à identifier : les outils sont légitimes, l’accès est souvent volontairement accordé par la victime prise au piège d’une stratégie d’ingénierie sociale bien rodée. En moins d’une heure, le gang réussit à identifier les données sensibles, les exfiltrer et envoyer une lettre de rançon, plaçant les directions informatiques et juridiques sous une pression extrême.

L’attaque en trois étapes du Silent Ransom Group : de l’email au faux technicien en entreprise

Le procédé du groupe suit un scénario précis, qui force la vigilance de tous les collaborateurs :

• Étape 1 : un email d’amorce sans pièce jointe ni lien malveillant, souvent une fausse facture ou un rappel de paiement, préparer psychologiquement la victime.
• Étape 2 : un appel téléphonique d’un faux support IT simulé avec un vocabulaire technique adapté, demandant un partage d’écran via des plateformes telles que Teams ou Zoom et l’installation d’outils d’accès distant légitimes (AnyDesk, Zoho Assist).
• Étape 3 : si la cible bloque le partage d’écran, un complice se rend physiquement sur place, costumée en technicien, avec une clé USB ou disque dur pour copier directement les données sensibles.

Cette dernière étape, décrit dans le FLASH du FBI du 26 mai 2026, souligne l’insolence des acteurs qui n’hésitent plus à forcer physiquement l’infiltration d’entreprise. Mandiant a documenté des cas où tout le cycle d’attaque, du premier contact à exfiltration, s’est déroulé en moins d’une heure. Cette rapidité est d’autant plus déstabilisante pour la sécurité informatique des victimes.

Tableau récapitulatif du mode opératoire du Silent Ransom Group

Les secteurs et cibles privilégiés par le gang pour maximiser l’impact

Le Silent Ransom Group concentre ses attaques sur les organisations détenant des informations particulièrement sensibles. On retrouve en tête :

• Les cabinets d’avocats, notamment américains, manipulant contrats, dossiers confidentiels et données fiscales
• Les services juridiques internes d’entreprises
• Les organismes de santé et d’assurance
• Les fonds d’investissement et sociétés financières

Le cas emblématique du cabinet Jones Day, qui a vu ses données stratégiques et celles de dix clients directement exfiltrées puis exposées sur un Data Leak Site, illustre tragiquement les risques associés. L’impact est multidimensionnel : non seulement les données sensibles sont compromises, mais le gang contacte directement les clients pour intensifier la pression.

Pourquoi ce ciblage est si redoutable ?

Ces secteurs disposent de données délicates qui, si elles sont publiées ou utilisées à des fins malicieuses, peuvent provoquer des préjudices financiers, juridiques et réputationnels majeurs. Les systèmes de protection en place, souvent centrés sur les entreprises financières ou infrastructures critiques, sont parfois moins rigoureux dans ces directions juridiques, créant des vulnérabilités exploitées par le gang.

Protéger son entreprise contre l’infiltration hybride : mesures prioritaires et bonnes pratiques

Les attaques du Silent Ransom Group démontrent que les protections classiques anti-virus ou antimalware ne suffisent pas. Le facteur humain reste la clé. Voici une liste de mesures recommandées pour limiter drastiquement la surface d’attaque :

• Former tous les collaborateurs à reconnaître un appel IT non sollicité et appliquer une politique stricte de rappel sur un numéro interne officiel.
• Centraliser les accès distants via un système de tickets validé avec double contrôle managérial avant autorisation.
• Auditer et journaliser l’installation et l’utilisation des outils d’accès distant, en bloquant ceux non autorisés par la DSI.
• Renforcer les contrôles physiques à l’accueil : exiger un rendez-vous confirmé, vérifier l’identité des visiteurs et limiter les déplacements non accompagnés en zone sensible.
• Établir une cellule de crise incluant ANSSI, forces de l’ordre, assureurs et avocats spécialisés pour gérer efficacement les incidents et pressions d’extorsion.

Cet ensemble assure une protection cohérente, intégrant à la fois la dimension numérique et la menace interne physique, désormais indissociable pour faire face à ces nouvelles formes d’attaque informatique.

Actions clairement à éviter pour ne pas faciliter l’infiltration

• Répondre positivement à un appel IT non sollicité, même si l’interlocuteur semble bien informé.
• Installer des logiciels d’accès distant sans validation préalable et officielle.
• Permettre l’accès ou connecter une clé USB d’un intervenant non identifié ou sans contrôle.
• Prendre une décision de paiement rapide sous la pression d’une menace de publication sans consulter les spécialistes et autorités compétentes.