Silent Ransom Group: FBI warnt vor Cyber-Kriminellen im Büro

Kriminelle mischen Social Engineering mit physischen Einbrüchen – und werden immer dreister.

Das FBI und Google haben eine gemeinsame Warnung vor der Silent Ransom Group herausgegeben. Die Cyberkriminellen gehen dabei ungewöhnlich aggressiv vor: Sie geben sich nicht nur am Telefon als IT-Mitarbeiter aus, sondern schicken ihre Leute persönlich in die Büros ihrer Opfer. Zwischen Januar und Mai 2026 wurden dutzende Organisationen attackiert – vor allem US-Kanzleien, Banken und Dienstleister.

Wenn der falsche ITler im Büro steht

Anzeige: Wer die Gefahr durch falsche IT-Mitarbeiter ernst nimmt, findet in diesem Leitfaden die wichtigsten Schutzmaßnahmen – von der Vishing-Erkennung bis zum Notfallplan. Jetzt kostenlosen Sicherheitsleitfaden anfordern

Die Masche der Gruppe, die auch unter den Namen UNC3753, Luna Moth oder Chatty Spyder bekannt ist, folgt einem perfiden Muster. Zunächst rufen die Täter Mitarbeiter an und geben sich als Techniker aus – ein klassischer Vishing-Angriff (Voice-Phishing). Scheitert der Fernzugriff oder reicht er nicht aus, schicken die Kriminellen einen Komplizen direkt zum Firmensitz.

Diese falschen IT-Mitarbeiter haben oft gefälschte Ausweise dabei. Mit USB-Sticks zapfen sie Daten ab oder installieren Hintertüren in den Systemen. Sicherheitsforscher berichten, dass die Angreifer mitunter stundenlang vor Ort bleiben, um Ransomware zu platzieren oder dauerhaften Fernzugriff einzurichten.

Blitzschnelle Erpressung

Die Effizienz der Bande ist erschreckend. Vom ersten Anruf bis zur Erpressungsforderung vergeht oft nur ein einziger Tag. In vielen dokumentierten Fällen war der Datendiebstahl in weniger als einer Stunde abgeschlossen, sobald die Täter Zugriff hatten.

Anders als klassische Ransomware-Gruppen verschlüsseln die Angreifer die Daten meist nicht. Stattdessen stehlen sie Verträge, Sozialversicherungsnummern und Finanzunterlagen. Anschließend drohen sie mit der Veröffentlichung auf einer speziellen Leak-Seite, falls kein Lösegeld gezahlt wird. Das FBI bestätigt: Die Gruppe ist seit 2022 aktiv, der Fokus auf US-Kanzleien hat sich seit Frühjahr 2023 verschärft.

Legitime Tools als Waffe

Ein Markenzeichen der Silent Ransom Group ist der Einsatz legaler Geschäftssoftware. Die Täter nutzen WinSCP und Rclone für Datentransfers, Zoom, Microsoft Teams, AnyDesk und Zoho Assist für die Kommunikation. Die gestohlenen Daten laden sie auf Google Drive oder OneDrive hoch.

Diese „Living off the Land"-Strategie macht die Angriffe schwer erkennbar: Der Datenverkehr tarnt sich als normale Firmenaktivität. Nach dem Diebstahl setzen die Erpresser meist ein dreitägiges Ultimatum, bevor sie die Daten veröffentlichen.

Anzeige: Bereits ein erster Vishing-Anruf kann der Auftakt zu einem physischen Einbruch sein – handeln Sie, bevor die Täter vor Ihrer Tür stehen. Dieser Report zeigt, wie Sie Besucherzugang kontrollieren und Angriffe frühzeitig erkennen. Sicherheitsleitfaden jetzt sichern

Weitere Gruppen mit ähnlichen Methoden

Die Silent Ransom Group ist kein Einzelfall. Eine als UNC4996 bekannte Gruppierung nutzt kompromittierte Zugangsdaten, um sich physischen Zutritt zu Firmen in der Fertigungs-, Gesundheits- und Finanzbranche zu verschaffen. Google entdeckte erste Spuren dieser Gruppe Ende 2025.

Eine weitere Erpresserbande namens „Pink" setzt auf Vishing und fingierte Helpdesk-Anrufe, um an Daten in SharePoint und OneDrive zu gelangen – ebenfalls mit 72-Stunden-Zahlungsfrist. Im April 2026 tauchte zudem ein Angriff auf eine Anwaltskanzlei auf, bei dem Microsoft Teams und Google Drive genutzt wurden, um die Schadsoftware „Nimbus RAT" zu verbreiten. Der Trend ist klar: Kriminelle missbrauchen zunehmend vertrauenswürdige Cloud-Infrastruktur für ihre Zwecke.

de | wissenschaft | 69491679 |