Die Silent Ransom Group, die sich auch als Luna Moth, Chatty Spider oder UNC3753 bezeichnet, hat ihre Angriffsweise dramatisch verschärft. Was 2022 mit klassischen Phishing-Mails begann, bei denen gefälschte Rechnungen die Opfer zum Anrufen verleiten sollten, hat sich zu einem Hybrid-Modell entwickelt: Die Täter geben sich als IT-Mitarbeiter aus, senden E-Mails oder Telefonanrufe ab und dringen so in Systeme ein. Scheitert die digitale Variante, schicken sie tatsächlich eine Person ins Büro – angeblich vom IT-Support – um einen USB-Stick oder eine externe Festplatte anzuschließen.
Diese Vorgehensweise ist tückisch, weil Mitarbeiter von physisch anwesenden Personen eher Vertrauen haben. Die Angreifer behaupten, ein Backup erstellen zu müssen, um Schäden durch Phishing-Angriffe zu verhindern. Sind sie erst einmal mit Administratorrechten verbunden, extrahieren sie zielgerichtet Daten – ohne die Systeme zu verschlüsseln. Sie nutzen dafür legitime Tools wie WinSCP oder das Open-Source-Programm Rclone, um Dateien auf Cloud-Speicher wie Google Drive oder OneDrive zu kopieren oder auf physische Laufwerke zu transferieren.
Das Sicherheitsunternehmen Halcyon hat ermittelt, dass die Rechtsbranche bereits die vierthäufigste Angriffsbranche ist – ein Status, den sie nicht erhalten hat, weil sie besonders sicher ist, sondern weil Anwältskanzleien attraktiv sind: Mandantendaten sind hochwertig, der Druck zur schnellen Schadensbeseitigung ist groß, und viele Firmen zahlen tatsächlich Lösegelder, um die Anwaltsgeheimnis und Mandantendaten zu schützen.
Nach dem erfolgreichen Datendiebstahl kontaktiert SRG die Opfer per Mail, Telefon oder sogar durch Anrufe bei Mandanten. Die Bedrohung ist klar: Zahlt oder wir veröffentlichen die Daten im Dark Web.
Das FBI empfiehlt Organisationen konkrete Maßnahmen: Alle Personen, die das Bürogebäude betreten, sollten identifiziert und kontrolliert werden – Ausweiskopien sind zu fordern. Phishing-resistente Multi-Faktor-Authentifizierung sollte überall aktiv sein. Mitarbeiter brauchen Schulungen, um Social Engineering zu erkennen. Kritisch ist die Empfehlung, Remote-Access- und externe Laufwerk-Installationen auf sensiblen Systemen zu deaktivieren. Für deutsche Unternehmen kommt hinzu: Ein solcher Datendiebstahl ist eine Meldepflicht nach DSGVO – und bei Verstößen gegen Datenschutzmaßnahmen drohen Bußgelder bis zu 4 Prozent des Jahresumsatzes.
Dass SRG mittlerweile auch physisch vor Ort aktiv wird, deuten Sicherheitsexperten als Zeichen einer Gruppe, die wahrscheinlich aus Russland operiert und keine Angst vor Konsequenzen hat.