Nach Angaben des FBI gibt sich SRG über Telefonanrufe und Phishing-E-Mails als IT-Support aus, um Zugang zu den Rechnern der Opfer zu erlangen und Daten abzuziehen – in der Regel über legitime Fernzugriffswerkzeuge oder, indem eine Person zum Standort des Unternehmens geschickt wird, um sich physischen Zugang zu den Computern zu verschaffen.
Ursprünglich verschickten die Angreifer Phishing-Mails, in denen vorgegeben wurde, das Opfer schulde eine Abonnementgebühr. Um das nicht existierende Abo zu kündigen, sollte das Opfer den Täter anrufen, der daraufhin einen Link zum Herunterladen einer Fernzugriffssoftware schickte. Sobald die Verbindung steht, sind laut Bericht weder Ausnutzung von Schwachstellen noch komplexe Angriffsketten nötig.
Inzwischen hat SRG die Methoden erweitert. Die Täter geben sich als Mitarbeiter der internen IT-Abteilung aus und drängen das Opfer, einer Remote-Desktop-Sitzung zuzustimmen. Scheitert dies, schickt SRG laut FBI einen Täter zum Standort des Opfers, um ein Speichergerät in dessen Computer einzustecken. Dabei werde dem Opfer erklärt, man müsse das Gerät spiegeln oder eine Sicherungsdatei anlegen, um mögliche Folgen der Phishing-Mail zu beheben. Hat der Täter Zugriff, weitet er die Rechte nur minimal aus und geht rasch zum Datenabzug ohne Verschlüsselung über.
Zum Abziehen der Daten nutzen die Angreifer Windows Secure Copy (WinSCP) oder eine versteckte beziehungsweise umbenannte Version des quelloffenen Kommandozeilenprogramms Rclone. Je nach Lage werden die Daten zu Filesharing-Plattformen wie Google Drive oder Microsoft OneDrive übertragen oder auf einen physischen Datenträger wie eine externe Festplatte oder einen USB-Stick kopiert.
Den Wechsel zu Aktivitäten vor Ort bezeichnet Kaiser als „eine ausgesprochen seltene und besorgniserregende Entwicklung", da SRG bisher auf professionelle, englischsprachige Callcenter-Kräfte gesetzt habe. Die Gruppe sei bislang weder von Festnahmen noch von Infrastrukturstörungen betroffen gewesen und operiere wahrscheinlich aus Russland. Wo die betroffenen Kanzleien liegen, teilt das FBI nicht mit.
Ist der Datendiebstahl erfolgt, verschickt der Angreifer eine Erpressungs-E-Mail und droht, die Daten zu verkaufen oder auf der eigenen öffentlichen Website zu veröffentlichen. SRG ruft zudem Mitarbeiter oder Mandanten der betroffenen Organisation an, um sie zur Zahlung zu drängen.
Auf einen SRG-Angriff können laut Bericht hindeuten: neue, nicht autorisierte Downloads von System- oder Fernzugriffswerkzeugen, unbefugte Installationen von USB- oder externen Festplatten, eine WinSCP- oder Rclone-Verbindung zu einer externen IP-Adresse oder unbekannte Personen, die sich als IT-Support ausgeben und Zugriff auf Computer verlangen.
Der Verizon Data Breach Investigations Report 2026 wies Social Engineering als drittwichtigsten Angriffsvektor aus. Das FBI empfiehlt, die Identität aller Personen zu überprüfen, die Firmenräume betreten – einschließlich einer Kopie des Ausweises –, phishing-resistente Mehr-Faktor-Authentifizierung für möglichst viele Dienste vorzuschreiben, Mitarbeiter im Erkennen und Melden von Phishing zu schulen und, wenn möglich, Fernzugriff sowie die Installation externer Laufwerke auf Rechnern mit Zugriff auf sensible Daten zu deaktivieren.
