Die Cyberkriminalität wird immer dreister: Die Gruppe UNC3753 – auch bekannt als Silent Ransom Group (SRG), Luna Moth oder Chatty Spider – schleust jetzt eigene Leute in Firmengebäude. Statt nur digital zuzuschlagen, versuchen die Täter als IT-Techniker getarnt, vor Ort Daten zu stehlen.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieser Gratis-Report enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book zur Cyber Security jetzt anfordern
Von Remote-Support zu physischen USB-Angriffen
Zwischen Januar und Mai 2026 griff die Gruppe Dutzende Banken, Anwaltskanzleien und Dienstleister in den USA an. Das berichten die Google Threat Intelligence Group und Mandiant.
Die Masche beginnt klassisch: Per Phishing-Anruf oder E-Mail geben sich die Angreifer als IT-Support-Mitarbeiter aus. Unter dem Vorwand technischer Probleme fordern sie ihre Opfer auf, Screen-Sharing-Tools wie Zoom, Teams, Zoho Assist oder AnyDesk zu installieren.
Scheitert dieser digitale Erstkontakt, wird es handfest. Einzelne Täter betreten als IT-Techniker verkleidet die Büroräume. Ihr Ziel: Über USB-Sticks direkt Schadsoftware installieren oder Daten abgreifen. Das FBI bestätigt diese Entwicklung – und warnt, dass die Gruppe bereits seit Frühjahr 2023 gezielt US-Anwaltskanzleien ins Visier nimmt. Seit Frühjahr 2026 werde die physische Imitation von IT-Mitarbeitern verstärkt beobachtet.
Datenklau ohne Verschlüsselung
Im Gegensatz zu klassischen Ransomware-Gruppen verschlüsselt UNC3753 die Systeme meist gar nicht. Das Hauptziel: der Diebstahl sensibler Informationen. Darunter fallen Rechtsvereinbarungen, Finanzunterlagen und personenbezogene Daten.
Zum Abtransport nutzen die Täter legitime Software wie WinSCP und Rclone. Damit übertragen sie die Beute auf Cloud-Speicher wie Google Drive oder OneDrive. Und das in Rekordzeit: Die gesamte Kette vom Erstkontakt bis zur Kompromittierung dauert oft weniger als einen Tag. In einigen Fällen suchen und stehlen die Angreifer die Daten in unter einer Stunde.
Die Erpressung beginnt prompt: In beobachteten Fällen startete sie bereits 30 Minuten nach dem Datenabfluss. Die Opfer bekommen meist drei Tage Frist – danach landen die Informationen auf einer öffentlichen Erpressungsseite.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Kostenlosen Anti-Phishing-Leitfaden herunterladen
Steigende Schäden und neue Schutzmaßnahmen
Die Warnungen vor UNC3753 fallen in eine Zeit massiv steigender Cyberkriminalität. Laut FBI-Statistiken beliefen sich die Verluste in den USA 2025 auf rund 19,2 Milliarden Euro – ein Plus von 26 Prozent gegenüber dem Vorjahr.
Neben SRG sind weitere Gruppen aktiv. JINX-0164 etwa greift über gefälschte LinkedIn-Stellenanzeigen gezielt Krypto-Entwickler an. Anfang April wurde so ein npm-Paket einer dezentralen Börse trojanisiert.
Google reagierte Anfang Juni mit einem Sicherheitsupdate für Android. Es schließt 124 Schwachstellen, darunter die kritische Lücke CVE-2025-48595. Zudem startete eine neue Funktion zur Erkennung von Fake-Anrufen für Pixel-Smartphones – ein Schutz gegen KI-gestützte Betrugsversuche.
Auch in Europa schrillen die Alarmglocken: Behörden warnen aktuell vor Phishing-Wellen gegen Kunden deutscher Sparkassen und der österreichischen Erste Bank. Betroffen sind auch Buchungsdaten der Plattform Booking.com, die im April gestohlen wurden.
