Kriminelle schicken falsche IT-Techniker in Unternehmen – und stehlen Daten persönlich.
Eine bislang wenig bekannte Cyberkriminellen-Gruppe namens Silent Ransom Group (SRG) hat ihre Taktik radikal verschärft. Statt nur digital zuzuschlagen, schicken die Erpresser jetzt echte Personen in die Büros ihrer Opfer. Das FBI und Googles Threat-Intelligence-Einheit Mandiant haben eine gemeinsame Warnung herausgegeben.
Zwischen Januar und Mai 2026 gelang der Gruppe der Einbruch in Dutzende Organisationen – mit einem klaren Schwerpunkt auf US-Anwaltskanzleien. Die Täter geben sich als IT-Support-Mitarbeiter aus, um Zugang zu sensiblen Daten zu erhalten.
Anzeige: Die Taktik der Silent Ransom Group zeigt: Digitale Vorsicht allein reicht nicht mehr, wenn Kriminelle persönlich vor der Tür stehen. Unser kostenloser Report liefert eine konkrete Checkliste zur Identitätsprüfung von IT-Personal und Sofortmaßnahmen bei Vishing-Verdacht – damit Ihr Unternehmen nicht das nächste Opfer wird. Sicherheits-Report jetzt kostenlos anfordern
Vom Telefonbetrug zum persönlichen Einbruch
Die Silent Ransom Group, die bei Ermittlern auch unter den Namen UNC3753, Luna Moth oder Chatty Spider bekannt ist, hat ihr Repertoire erweitert. Bisher begannen die Angriffe meist mit sogenanntem „Vishing“ – Telefonbetrug, bei dem sich die Täter als Helpdesk-Mitarbeiter ausgeben.
Seit März 2025 beobachteten die Behörden, wie die Gruppe Mitarbeiter anrief und über Fernwartungssoftware wie Zoho Assist oder AnyDesk Zugriff auf deren Rechner erhielt. Schlägt dieser Versuch fehl, greift die Bande zu drastischeren Mitteln: Sie schickt Komplizen persönlich zum Firmengelände.
Die falschen IT-Techniker versuchen, sich Zutritt zu verschaffen und Daten per USB-Stick zu stehlen. In vielen Fällen ist die gesamte Angriffskette – vom ersten Anruf bis zum Datenklau – an einem einzigen Arbeitstag abgeschlossen.
Keine Verschlüsselung, nur Erpressung
Anders als klassische Ransomware-Gruppen verschlüsselt SRG die Dateien ihrer Opfer nicht. Die Bande konzentriert sich ausschließlich auf den Datendiebstahl. Mit legitimen Tools wie WinSCP oder Rclone werden die gestohlenen Informationen in Cloud-Speicher wie Google Drive oder OneDrive hochgeladen.
Anschließend fordern die Erpresser Lösegeld – andernfalls drohen sie mit der Veröffentlichung der Daten. Berichten zufolge erhalten die betroffenen Unternehmen die Erpressungsmails oft schon innerhalb von 30 Minuten, nachdem die Angreifer das System verlassen haben.
Die bevorzugten Ziele: Top-Kanzleien aus den AmLaw 100, aber auch Banken, Finanzdienstleister, Krankenhäuser und Versicherungen.
Hochmoderne Infrastruktur im Hintergrund
Sicherheitsforscher von Resecurity entdeckten, dass die Gruppe auf eine sogenannte „Fast-Flux“-DNS-Infrastruktur setzt. Dabei kommt ein Botnetz aus kompromittierten IoT-Geräten und Heimroutern zum Einsatz, das die IP-Adressen in rasantem Tempo wechselt.
Die Knotenpunkte dieses Netzwerks verteilen sich global: von Lateinamerika über Osteuropa bis nach Zentralasien, Ostasien, die Karibik und den Nahen Osten.
Die seit mindestens 2022 aktive Gruppe betreibt zudem eine eigene Leak-Seite, um Druck auf ihre Opfer auszuüben. Gestohlene Daten werden regelmäßig auf der Domain business-data-leaks[.]com veröffentlicht. Analysten sehen zudem mögliche Verbindungen zu einem neuen Projekt namens „Spy Corporate“, das im Mai 2026 auftauchte.
Anzeige: Bereits Dutzende Organisationen sind der neuen Masche der Silent Ransom Group zum Opfer gefallen – mit einem klaren Schwerpunkt auf Anwaltskanzleien. Die Angreifer schicken falsche IT-Techniker, die Daten per USB-Stick stehlen. Unser Report zeigt, wie Sie physische Social-Engineering-Angriffe erkennen und abwehren. Schutz vor falschen Technikern – Report sichern
Ein gefährlicher Trend
Das FBI und Googles Threat Intelligence Group betonen, dass der Einsatz echter Personen für Social-Engineering-Angriffe eine deutliche Eskalation darstellt. Unternehmen werden dringend aufgefordert, die Identität jedes IT-Personals zu überprüfen, das physischen Zugang zu Hardware oder sensiblen Bürobereichen verlangt.
Die Botschaft ist klar: In einer Zeit, in der selbst der IT-Support vor der Tür ein Betrüger sein kann, reicht digitale Vorsicht allein nicht mehr aus.
