Cyberkriminelle setzen zunehmend auf perfide Methoden – von gefälschten IT-Anrufen bis zu Einbrüchen in Büros.
Sicherheitsforscher von Google Mandiant und Palo Alto Networks schlagen Alarm: Gleich zwei neue Erpressergruppen, bekannt als UNC3753 und Pink, treiben ihr Unwesen. Statt auf klassische Ransomware setzen die Banden auf schnellen Datendiebstahl, Telefon-Tricks und sogar physische Einbrüche in Firmengebäude. Die Warnungen kommen am heutigen Montag und betreffen auch Unternehmen in Europa.
Rekord-Schäden durch Phishing und Social Engineering: Warum immer mehr Unternehmen jetzt auf gezielte Awareness-Kampagnen setzen, um sich vor perfiden Betrugsmaschen zu schützen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulation und Datenraub absichern kann. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
UNC3753: Der Anruf vom angeblichen IT-Support
Die Gruppe UNC3753, auch als Luna Moth oder Silent Ransom Group bekannt, hat zwischen Januar und Mai 2026 dutzende Organisationen ins Visier genommen. Betroffen sind vor allem Kanzleien, Finanzdienstleister und Unternehmen aus dem Dienstleistungssektor.
Die Masche ist ausgeklügelt: Zunächst erhalten Mitarbeiter eine harmlose E-Mail mit einem Rechnungsbetreff – ohne schädliche Links oder Anhänge. Kurz darauf folgt ein Anruf, bei dem sich die Angreifer als IT-Support ausgeben. Durch geschickte Gesprächsführung überreden sie die Opfer, Fernzugriff zu erlauben. Dabei kommen legitime Tools wie AnyDesk, Bomgar oder Zoho Assist zum Einsatz.
Besonders alarmierend: Der gesamte Prozess vom ersten Zugriff bis zum Datendiebstahl dauert mitunter weniger als eine Stunde. Die Erpresser fordern Lösegeld und setzen eine Frist von drei Tagen. Drohung: Die gestohlenen Daten werden auf einer eigenen Leak-Seite veröffentlicht – und die Kunden sowie Aufsichtsbehörden informiert.
FBI bestätigt: Einbrecher stehlen Daten per USB-Stick
Die Ermittlungen förderten eine weitere Eskalationsstufe zutage: Im Mai 2026 warnte das FBI vor physischen Eindringlingen. Bei diesen Vorfällen betraten als IT-Techniker verkleidete Personen Büroräume und steckten USB-Sticks in Arbeitsplatzrechner, um Daten zu stehlen.
Die Silent Ransom Group nutzt zudem eine sogenannte „Fast-Flux“-Infrastruktur. Dabei kommen infizierte Router und Modems in 18 Ländern und 22 Internetanbietern zum Einsatz, um die eigenen Server zu verschleiern. Die Gruppe operiert seit 2022 und soll aus dem Umfeld der berüchtigten Conti-Ransomware stammen.
Neue Gruppe „Pink“ jagt Cloud-Zugangsdaten
Parallel dazu hat Palo Alto Networks eine weitere Erpresserbande identifiziert: Die Gruppe Pink (auch CL-CRI-1147) startete ihre Daten-Leak-Seite am 31. Mai 2026. Ihr Fokus liegt auf dem Diebstahl von Cloud-Zugangsdaten für Plattformen wie AWS, Azure, Microsoft 365 und Google Workspace.
Auch Pink setzt auf Telefon-Tricks und IT-Identitätsdiebstahl. Um die Zwei-Faktor-Authentifizierung zu umgehen, nutzen die Angreifer Phishing-Seiten oder die sogenannte „MFA-Fatigue“-Methode: Dabei werden Nutzer mit einer Flut von Bestätigungsanfragen so lange bombardiert, bis sie aus Erschöpfung eine davon genehmigen. Auch hier gilt eine 72-Stunden-Frist für Lösegeldzahlungen.
Ob im Büro oder unterwegs – die Cloud-Sicherheit ist das neue Hauptziel professioneller Hackerbanden. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Cyberbedrohungen und zeigt praxisnahe Schutzmaßnahmen auf, mit denen Unternehmer ihre IT-Sicherheit ohne hohe Investitionen stärken. Gratis-E-Book: Cyber Security im Unternehmen jetzt herunterladen
Schutzmaßnahmen für Unternehmen
Cybersicherheitsexperten raten zu einem Bündel an Maßnahmen:
- Strenge Kontrollen für Fernwartungs-Tools (RMM) und bedingte Zugriffsrichtlinien
- Deaktivierung nicht benötigter USB-Anschlüsse
- Spezielle Schulungen für Mitarbeiter zu den Gefahren von Vishing und Social Engineering
- Überwachung legitimer Datentransfer-Tools wie WinSCP und Rclone, die von Erpressern häufig missbraucht werden
Die Botschaft der Sicherheitsforscher ist klar: Unternehmen müssen ihre Abwehrstrategien dringend anpassen – denn die Angreifer werden immer kreativer.
