Die US-Bundespolizei schlägt Alarm: Eine spezialisierte Cyberkriminellen-Gruppe setzt jetzt auf Botengänger, die persönlich in Anwaltskanzleien eindringen. Die als Silent Ransom Group (SRG) bekannte Organisation schickt ihre Leute zu Firmensitzen, um dort Schadsoftware manuell zu installieren – immer dann, wenn die üblichen Tricks am Telefon scheitern.
Vom Hacker zum Hausbesuch
Die Gruppe, die auch unter den Namen Luna Moth, Chatty Spider oder UNC3753 bekannt ist, ist seit März 2022 aktiv. Sie entstand im Umfeld der berüchtigten Ransomware-Operationen Conti und Ryuk. Doch anders als diese Klassiker verschlüsselt SRG keine Daten. Stattdessen konzentriert sich die Bande auf Datendiebstahl und Erpressung: Sie droht damit, hochsensible Mandanteninformationen zu veröffentlichen – es sei denn, die Kanzlei zahlt.
Während Kriminelle immer raffiniertere Methoden wie den physischen Besuch nutzen, bleiben psychologische Tricks oft die Basis jeder Erpressung. Erfahren Sie in diesem kostenlosen Report, welche Schwachstellen Hacker gezielt ausnutzen und wie Sie Manipulationen rechtzeitig entlarven. Anti-Phishing-Paket für Unternehmen jetzt gratis anfordern
Seit 2023 hat sich SRG auf den US-Rechtsmarkt spezialisiert. Bisher setzte die Gruppe vor allem auf Phishing-Mails und Telefonanrufe. Die Täter geben sich als IT-Support oder Mitarbeiter von Abo-Diensten aus, um ihre Opfer zur Freigabe des Fernzugriffs zu bewegen.
Seit dem Frühjahr hat die Bande ihr Vorgehen radikal verschärft. Lehnt ein Ziel den Fernzugriff ab, schickt SRG einen Mittelsmann direkt ins Büro. Die angeblichen IT-Techniker behaupten, Wartungsarbeiten durchführen zu müssen – etwa System-Backups oder Image-Erstellungen. Sobald sie Zugang zu einem Rechner haben, stecken sie einen USB-Stick ein und leiten den Datendiebstahl ein.
Technik hinter dem Einbruch
Die Ermittler berichten, dass SRG auf eine Reihe legitimer Werkzeuge setzt. Den ersten Zugriff verschaffen sich die Angreifer oft über unerlaubte Downloads von Fernwartungssoftware wie Zoho Assist oder AnyDesk. Ist die Verbindung erst einmal hergestellt, nutzen die Täter Programme wie WinSCP und Rclone, um die gestohlenen Dateien abzutransportieren.
Die Beute laden sie in der Regel auf kommerzielle Cloud-Dienste wie Google Drive oder OneDrive hoch. Anschließend nehmen sie Kontakt zur betroffenen Kanzlei auf – oder direkt zu deren Mandanten – und fordern Lösegeld. Die Drohung: Veröffentlichung oder Weiterverkauf der erbeuteten Dokumente.
Der Fall der Silent Ransom Group zeigt deutlich, dass rein technische Schutzmaßnahmen oft nicht mehr ausreichen, um sensible Firmendaten zu schützen. Dieses kostenlose E-Book bietet eine praxisnahe Checkliste, mit der Unternehmen ihre IT-Sicherheit proaktiv stärken und Sicherheitslücken schließen können. Gratis-E-Book: Cyber-Angriffe erfolgreich abwehren
Schutz vor dem neuen Angriffstyp
Die US-Bundespolizei und Sicherheitsexperten empfehlen Kanzleien ein strengeres Prüfverfahren für alle IT-bezogenen Anfragen. Dazu gehört die konsequente Nutzung der Multi-Faktor-Authentifizierung (MFA) und die Überprüfung jeder Fernwartungssitzung, bevor sie startet.
Besonders wichtig: die physische Sicherheit. Die Behörden raten zu Besuchermanagementsystemen mit Ausweispflicht. Jeder angebliche Techniker – ob intern oder extern – muss seine Identität nachweisen. Zusätzlich sollten Firmen USB-Anschlüsse an Arbeitsplatzrechnern deaktivieren oder streng überwachen.
Branchenanalysten betonen, dass diese Angriffe besonders schwer zu erkennen sind. Die Täter nutzen legale Software und setzen auf menschliche Interaktion statt auf klassische Sicherheitslücken. Mitarbeiterschulungen bleiben daher die wichtigste Verteidigungslinie: Nur wer die Anzeichen von Fern- und Präsenzangriffen kennt, kann sie rechtzeitig erkennen.
