HackerangriffeDatenschutzCyberkriminalität

FBI warnt: Cyberkriminelle besuchen Anwaltskanzleien persönlich, um Daten zu stehlen

Von CyberDeutsch Redaktion
FBI warnt: Cyberkriminelle besuchen Anwaltskanzleien persönlich, um Daten zu stehlen
Zusammenfassung

Die kriminelle Gruppe Silent Ransom Group (SRG) hat ihre Angriffsmethoden erheblich verschärft: Das FBI warnt vor einer neuen Kampagne, bei der Hacker nicht nur digital, sondern auch physisch vor Ort erscheinen, um USB-Sticks in die Computer ihrer Opfer einzuführen und Daten zu stehlen. Die Bedrohung richtet sich primär gegen Anwaltskanzleien in den USA, doch die Methoden könnten auch deutsche Unternehmen treffen. Die Angreifer geben sich als IT-Support aus, nutzen Social Engineering und Phishing-E-Mails, um Mitarbeiter zu täuschen. Besonders besorgniserregend ist ihre Taktik: Scheitert der digitale Zugriff, senden sie einen Angreifer persönlich vor Ort, der unter dem Vorwand, ein Datenbackup zu erstellen, physischen Zugang zu Rechnern erhält. Danach exfiltrieren sie Daten ohne Ransomware einzusetzen und erpressen die Opfer mit der Drohung, gestohlene Informationen zu veröffentlichen. Für deutsche Kanzleien, Unternehmen und Behörden bedeutet dies ein erhöhtes Risiko durch eine Angriffsmethode, die traditionelle digitale Sicherheitsmaßnahmen umgeht und menschliche Überprüfung erfordert.

Die Silent Ransom Group operiert seit mindestens 2022 international und hat sich seit 2023 speziell auf amerikanische Anwaltskanzleien konzentriert. Ihre ursprüngliche Taktik bestand aus Callback-Phishing-E-Mails und Social-Engineering-Anrufen, bei denen die Angreifer vorgaben, bei der Stornierung von Abonnements zu helfen. Im Mai 2025 warnte das FBI vor phishing-E-Mails mit Links zu Remote-Access-Software.

Doch die Gruppe hat aufgerüstet. In diesem Jahr setzen SRG-Akteure nun eine doppelgleisige Strategie um: Sie rufen Angestellte direkt an oder versenden Phishing-E-Mails und geben sich dabei als Mitarbeiter der internen IT-Abteilung aus. Gelingt es ihnen, den Zielrechner per Remote-Desktop-Session zu kompromittieren, folgt sofort die Datenexfiltration. Schlägt dieser Versuch fehl, schickt die Gruppe einen Operateur persönlich vor Ort – eine Eskalationsstufe, die zeigt, wie ernst es diesen Angreifern ist.

Der vor-Ort-Agent behauptet dann, ein Backup oder Disk-Image erstellen zu müssen, um Folgeschäden durch die gefälschte Phishing-E-Mail zu beheben. In Wahrheit steckt die Person einen USB-Stick oder ein externes Laufwerk in den Computer ein, um Daten zu kopieren.

Zur Datenexfiltration nutzt SRG Tools wie WinSCP oder eine Variante von Rclone. Besonders perfide: Die Angreifer kopieren die Daten oft in legitime Cloud-Plattformen wie Google Drive oder Microsoft OneDrive – dies erschwert die Erkennung erheblich. Danach erpressen sie die Opfer, indem sie drohen, die Daten zu veröffentlichen, und kontaktieren auch Mitarbeiter und Kunden, um Druck aufzubauen.

Ein großes Problem: SRG hinterlässt kaum Spuren. Traditionelle Antivirus-Lösungen schlagen oft nicht an, da die Gruppe legitime System-Management- und Remote-Access-Tools nutzt. Das FBI empfiehlt Organisationen daher, alle Zugriffe auf Unternehmensressourcen zu überprüfen, Datenzugriffe zu limitieren, Mitarbeiter zum Erkennen von Phishing zu schulen, klare IT-Support-Richtlinien zu etablieren und phishing-resistente Multi-Faktor-Authentifizierung (MFA) zu implementieren. Regelmäßige Backups, Blockierung häufig ausgebeuteter Ports und die Deaktivierung von Remote-Zugriff sind weitere essenzielle Schutzmaßnahmen.

Ähnliche Artikel