Hacker kommen jetzt persönlich vorbei: Wie die Silent Ransom Group Unternehmen und Anwaltskanzleien infiltriert

Über Jahre hinweg waren Cyberangriffe vor allem eine virtuelle Bedrohung. Kriminelle nutzten Schadsoftware, Phishing-Mails oder Sicherheitslücken, um sich aus der Ferne Zugang zu Unternehmensnetzwerken zu verschaffen. Doch aktuelle Erkenntnisse von Mandiant, der Google Threat Intelligence Group (GTIG) und dem FBI zeigen eine etwas andere Entwicklung: Cyberkriminelle erscheinen inzwischen ab und an auch persönlich in den Büros ihrer Opfer.

Im Zentrum dieser Entwicklung steht die als UNC3753 bekannte Tätergruppe, die auch unter den Namen „Luna Moth“, „Chatty Spider“ oder „Silent Ransom Group“ (SRG) geführt wird. Die Gruppe hat sich auf die gezielte Erpressung von Anwaltskanzleien, Finanzdienstleistern und professionellen Dienstleistungsunternehmen spezialisiert.

Besonders alarmierend ist dabei nicht nur die Professionalität der Angriffe, sondern die Kombination aus klassischer Social-Engineering-Taktik, moderner Cyberkriminalität und physischen Eindringversuchen.

Eine hochspezialisierte Erpressungsmaschinerie

Zwischen Januar und Mai 2026 identifizierte Mandiant Dutzende Angriffe auf Organisationen aus dem Rechts- und Finanzsektor. Anders als klassische Ransomware-Gruppen verschlüsselt UNC3753 die Daten ihrer Opfer häufig gar nicht mehr. Stattdessen setzt die Gruppe auf eine Methode, die unter Cyberkriminellen zunehmend beliebt wird: reine Datendiebstahl-Erpressung.

Das Vorgehen ist einfach:

  1. Zugriff auf sensible Unternehmensdaten erlangen
  2. Daten stehlen
  3. Opfer mit Veröffentlichung drohen
  4. Lösegeld verlangen

Da keine Verschlüsselung erfolgt, entfallen viele technische Hürden für die Täter. Gleichzeitig geraten die Opfer durch die Gefahr von Datenschutzverletzungen, Reputationsschäden und möglichen Klagen unter enormen Druck.

Der Angriff beginnt mit einer harmlosen E-Mail

Die Kampagnen beginnen häufig mit einer scheinbar belanglosen Nachricht.

Ein typisches Beispiel:

„Hallo, hier die Rechnung, über die wir gestern gesprochen haben“

Die E-Mail enthält weder Schadsoftware noch einen Link. Sie dient ausschließlich dazu, beim Empfänger Unsicherheit zu erzeugen.

Hat jemand eine Rechnung geschickt?
Wurde etwas übersehen?
Ist ein Geschäftspartner betroffen?

Diese Verunsicherung bereitet den Boden für den eigentlichen Angriff.

Vishing statt Phishing

Der Kern der Angriffe besteht aus sogenanntem Voice Phishing (Vishing).

Die Täter recherchieren Mitarbeiter auf Kanzlei-Webseiten, LinkedIn-Profilen und öffentlichen Verzeichnissen. Anschließend rufen sie direkt an und geben sich als Mitarbeiter der internen IT-Abteilung oder des Sicherheitsteams aus.

Unter verschiedenen Vorwänden erklären sie:

  • Es gebe ein Sicherheitsproblem.
  • Eine Datenmigration müsse durchgeführt werden.
  • Ein technisches Update sei notwendig.
  • Eine verdächtige Aktivität müsse überprüft werden.

Während des Gesprächs bauen die Angreifer gezielt Vertrauen auf. Anschließend fordern sie die Opfer auf, an einer Bildschirmfreigabe teilzunehmen.

Missbrauch legitimer Software

Anstatt Malware zu verwenden, nutzen die Täter bekannte und legitime Anwendungen:

  • Zoom
  • Microsoft Teams
  • Quick Assist
  • Microsoft Terminal Services

Da diese Programme in Unternehmen alltäglich sind, schlagen viele Sicherheitssysteme keinen Alarm. In einigen dokumentierten Fällen führten die Täter über mehrere Tage hinweg wiederholt Videoanrufe mit denselben Mitarbeitern durch, um ihre Glaubwürdigkeit zu erhöhen.

Dauerhafter Zugriff über Fernwartungssoftware

Sobald das Vertrauen hergestellt wurde, versuchen die Angreifer, dauerhaften Zugriff einzurichten. Dafür werden die Opfer angewiesen, Fernwartungssoftware zu installieren:

  • AnyDesk
  • Bomgar
  • Zoho Assist
  • SuperOps RMM

Besonders raffiniert ist dabei die Nutzung von Privnote, einem Dienst für selbstzerstörende Nachrichten. Über Privnote erhalten die Opfer Installationslinks oder Befehle, die nach dem Öffnen automatisch gelöscht werden. Dadurch bleiben kaum Spuren in Browser-Verläufen oder Chat-Protokollen zurück.

Der Weg zu den sensibelsten Daten

Nach erfolgreicher Kompromittierung konzentriert sich UNC3753 gezielt auf Dokumentenmanagementsysteme und Cloud-Speicher.

Insbesondere juristische Kanzleien sind attraktive Ziele, weil sie hochsensible Informationen speichern:

  • Mandantenverträge
  • M&A-Unterlagen
  • Steuerdokumente
  • Prüfberichte
  • Sozialversicherungsnummern
  • Finanzdaten
  • Geschäftsgeheimnisse

Die Täter durchsuchen Systeme gezielt nach Begriffen wie:

  • W-2
  • W-9
  • 1099
  • SSN
  • Audit
  • Agreement

Die gefundenen Dateien werden gesammelt, sortiert und für den Abtransport vorbereitet.

Datendiebstahl in Gigabyte-Größe

Für den eigentlichen Datendiebstahl kommen verschiedene Methoden zum Einsatz.

Die Täter verwenden u.a.:

  • WinSCP
  • Rclone
  • Google Drive
  • Cloud-Speicherdienste
  • FTP- und SFTP-Verbindungen

In einem untersuchten Fall wurden zunächst 1,7 Gigabyte Daten aus OneDrive gestohlen. Anschließend verschafften sich die Täter Zugang zu einer virtuellen Desktop-Umgebung und entwendeten weitere 14,4 Gigabyte Unternehmensdaten.

Die neue Eskalationsstufe: Der Hacker steht vor der Tür

Wenn digitale Social-Engineering-Angriffe scheitern, schicken die Täter teilweise Personen direkt zum Unternehmensstandort. Diese geben sich als externe IT-Techniker aus.

Sie behaupten beispielsweise:

  • Ein Gerät müsse überprüft werden.
  • Sicherheitsprobleme müssten behoben werden.
  • Backups müssten erstellt werden.
  • Ein Systemabbild sei erforderlich.

Gelingt es ihnen, Zugang zu einem Arbeitsplatzrechner zu erhalten, versuchen sie, Daten unmittelbar auf USB-Speichergeräte zu kopieren. Diese Vorgehensweise markiert eine neue Qualität der Bedrohung. Bislang waren Cyberkriminalität und physische Einbrüche weitgehend getrennte Bereiche. UNC3753 verbindet nun beide Welten zu einer hybriden Angriffsstrategie.

Erpressung innerhalb weniger Stunden

Besonders effizient arbeitet die Gruppe nach erfolgreichem Datendiebstahl. Es wurden Fälle beobachtet, in denen zwischen Erstkontakt und Erpressung weniger als ein Arbeitstag verging. Teilweise begann die Datensuche bereits innerhalb einer Stunde nach dem ersten Zugriff. Kurz darauf erhalten die Opfer eine Drohmail. Darin heißt es unter anderem:

„Wenn Sie uns ignorieren oder keine Einigung erzielen, werden wir Ihre Mitarbeiter, Partner und Kunden informieren und anschließend Ihre Daten veröffentlichen.“

Die Täter setzen dabei gezielt auf Angst vor:

  • Reputationsverlust
  • Datenschutzverfahren
  • Schadenersatzklagen
  • Vertragskündigungen
  • Mandantenverlust

Die Leak-Plattform „LEAKEDDATA“

Um ihren Drohungen Nachdruck zu verleihen, betreibt die Gruppe eine eigene Leak-Seite namens „LEAKEDDATA“. Dort werden Unternehmen veröffentlicht, die sich weigern zu zahlen. Die Plattform dient gleichzeitig als Druckmittel und Werbefläche für die Täter. Potenzielle Opfer können dort sehen, dass frühere Drohungen tatsächlich umgesetzt wurden.

Warum Anwaltskanzleien besonders gefährdet sind

Juristische Dienstleister gehören mittlerweile zu den attraktivsten Zielen für Cyberkriminelle.

Die Gründe liegen auf der Hand:

  • Hohe Konzentration vertraulicher Informationen
  • Sensible Mandantendaten
  • Laufende Gerichtsverfahren
  • Fusions- und Übernahmeprojekte
  • Geistiges Eigentum
  • Regulatorische Dokumente

Hinzu kommt, dass Kanzleien besonders stark auf Vertrauen angewiesen sind. Eine Datenpanne kann unmittelbare Auswirkungen auf Mandantenbeziehungen und den Ruf der Kanzlei haben. Genau darauf spekuliert UNC3753.

Schutzmaßnahmen: Was Unternehmen jetzt tun müssen

Strenge Identitätsprüfung

Jeder externe Techniker sollte:

  • einen offiziellen Ausweis vorlegen,
  • gegen bestehende Arbeitsaufträge geprüft werden,
  • vom Empfang dokumentiert werden,
  • permanent begleitet werden.

Kontrolle von Fernwartungssoftware

Unternehmen sollten die Installation nicht autorisierter Tools wie AnyDesk oder ähnlicher Programme technisch blockieren.

Einschränkung von USB-Geräten

Externe Speichermedien sollten auf Unternehmensrechnern grundsätzlich deaktiviert werden.

Überwachung von Datenabflüssen

Besondere Aufmerksamkeit sollten erhalten:

  • ungewöhnlich große Dateiübertragungen,
  • SSH-Verbindungen,
  • Cloud-Uploads,
  • Massen-Downloads aus Dokumentensystemen.

Schulung der Mitarbeiter

Da die Angriffe primär auf menschliche Manipulation setzen, bleibt Security-Awareness eine der wichtigsten Verteidigungsmaßnahmen.

Cyberangriffe verlassen den digitalen Raum

Die Aktivitäten von UNC3753 zeigen deutlich, wie sich die Cyberkriminalität verändert. Technische Schutzmaßnahmen allein reichen zunehmend nicht mehr aus. Während Unternehmen ihre Netzwerke, Firewalls und Endgeräte immer besser absichern, verlagern Angreifer ihren Fokus auf den Menschen – und inzwischen sogar auf den physischen Zugang zu Gebäuden.

Die Silent Ransom Group kombiniert klassische Social-Engineering-Techniken, legitime Fernwartungstools, Datendiebstahl und reale Vor-Ort-Einsätze zu einem Angriffsmodell, das viele bestehende Sicherheitskonzepte umgeht.

Die Grenze zwischen Cyberangriff und physischer Infiltration verschwimmt zunehmend. Für Unternehmen bedeutet das, dass Sicherheitsstrategien künftig nicht nur digitale Systeme schützen müssen, sondern auch Empfangsbereiche, Besucherverwaltung und interne Prozesse als Teil derselben Verteidigungslinie betrachten sollten.