Salta al contenuto
News

Warnung: Silent Ransom Group nimmt Anwaltskanzleien mit gefälschten IT-Support-Anrufen ins Visier

Warnung: Silent Ransom Group nimmt Anwaltskanzleien mit gefälschten IT-Support-Anrufen ins Visier

Die Silent Ransom Group nimmt aktiv Anwaltskanzleien und professionelle Dienstleistungsunternehmen in den Vereinigten Staaten mit Social-Engineering-Angriffen ins Visier, die innerhalb von Stunden zum Diebstahl sensibler Daten führen. Dies geht aus einem Bericht von Mandiant hervor, der einer FLASH-Warnung des FBI folgt. Die Gruppe, auch bekannt als UNC3753, Luna Moth und Chatty Spider, hat zwischen Januar und Mai 2026 Dutzende von Organisationen in den Bereichen Recht, Finanzen und professionelle Dienstleistungen angegriffen. Seit 2022 aktiv, hat sie sich von Ransomware auf Erpressung durch Datendiebstahl verlagert.

Die Angriffsmethode beginnt mit Phishing-E-Mails zum Thema Rechnung von Consumer-Konten, die zu Anrufen führen, bei denen sich die Angreifer als IT-Personal ausgeben (sogenanntes „Callback-Phishing“). Sie verleiten dazu, eine Nummer zurückzurufen. Die Silent Ransom Group imitiert IT-Helpdesks, um Mitarbeiter davon zu überzeugen, an Remote-Support-Sitzungen über Microsoft Teams, Zoom, Quick Assist oder Microsoft Terminal Services teilzunehmen. Die Opfer installieren RMM-Tools wie AnyDesk, Zoho Assist, Bomgar oder SuperOps und erhalten so Zugriff auf das Netzwerk. Mandiant hat IT-Phishing-Domains (z.B. <organization>-itdesk[.]com) und die Verwendung von `privnote.com` zum Austausch von Links identifiziert, was forensische Spuren reduziert. Einmal im System, sucht die Gruppe nach sensiblen rechtlichen und finanziellen Dokumenten: Verträge, Steuerunterlagen, Sozialversicherungsnummern, M&A-Dateien. Ziele: Dokumentenmanagement-Plattformen und Cloud-Repositories, Daten exfiltriert über WinSCP oder Rclone. Die Erpressung ist aggressiv: Lösegeldforderungen innerhalb von 30 Minuten nach Verlassen der Umgebung. Die Schreiben gewähren drei Tage für eine Antwort und drohen damit, Mitarbeiter und externe Kunden direkt zu kontaktieren, um die Verletzung offenzulegen. Sie betonen, dass das Leck das Vertrauen gefährden, „erhebliche behördliche Bußgelder“ und rechtliche Schritte wegen „schlechter Datenverwaltung“ nach sich ziehen würde. Das FBI hat auch mögliche persönliche Datendiebstahl-Angriffe gemeldet.

Dieses Szenario ist von größter Relevanz für diejenigen, die personenbezogene Daten verarbeiten, und für die Compliance. Anwaltskanzleien sind hochrangige Ziele, da sie „große Mengen hochsensibler Kundeninformationen“ (M&A-Pläne, Geschäftsgeheimnisse, behördliche Berichte) verwahren. Solche Daten setzen Organisationen einem erheblichen „Reputations- und Regulierungsrisiko“ aus. Die expliziten Drohungen mit „erheblichen behördlichen Bußgeldern“ und rechtlichen Schritten wegen „schlechter Datenverwaltung“ unterstreichen die Auswirkungen auf die Compliance mit der DSGVO und anderen Datenschutzgesetzen. Der Druck, Vorfälle „stillschweigend“ zu lösen, offenbart den Konflikt zwischen Reputation und Transparenzpflichten.

Zur Risikominderung empfiehlt PL Consulting einen mehrschichtigen Ansatz:

  • Sensibilisierung und Schulung: Schulen Sie das Personal zu Social Engineering und Phishing, einschließlich der Überprüfung unaufgeforderter IT-Anfragen.
  • Strenge Verifizierungsprotokolle: Implementieren Sie strenge Verfahren zur Authentifizierung von Remote-Support-Anfragen und IT-Identitäten (offizielle Kanäle, MFA).
  • Überwachung und technische Kontrollen: Führen Sie Systeme ein, um nicht autorisierte RMM-Installationen, verdächtige Zugriffe und Datenexfiltrationsversuche zu erkennen.
  • Incident-Response-Pläne: Entwickeln, testen und aktualisieren Sie schnelle Pläne, einschließlich Benachrichtigungen an Behörden und Eindämmungs-/Wiederherstellungsverfahren.
  • Stärkung der Sicherheit: Regelmäßige Bewertungen der Sicherheitslage mit Fokus auf Endpoint-Schutz, Netzwerksegmentierung und Sicherheit sensibler Daten.

Zum Originalartikel auf BleepingComputer ↗

Lesen Sie auch