Das Cybersicherheitsunternehmen **Mandiant** hat neue Erkenntnisse über die aggressiven Kampagnen der **Silent Ransom Group** veröffentlicht, einer Erpressergruppe, die aktiv US-amerikanische Anwaltskanzleien und andere professionelle Dienstleistungsunternehmen ins Visier nimmt. Die Gruppe, die auch unter den Namen **UNC3753**, **Luna Moth** und **Chatty Spider** bekannt ist, hat ihre Fähigkeit unter Beweis gestellt, innerhalb von Stunden nach dem ersten Kontakt sensible Daten zu stehlen. Dieser Bericht baut auf einer kürzlich veröffentlichten **FBI** FLASH-Mitteilung auf, die zuvor vor dem Fokus der **Silent Ransom Group** auf US-amerikanische Anwaltskanzleien warnte, einschließlich Versuchen des Datendiebstahls vor Ort. Die Erkenntnisse von **Mandiant** liefern entscheidende technische Details zu den Einbruchsmethoden der Gruppe. ### Warum Anwaltskanzleien primäre Ziele sind Zwischen Januar und Mai 2026 fielen Dutzende von Organisationen im Rechts-, Finanz- und Dienstleistungssektor diesen Angriffen zum Opfer. Anwaltskanzleien sind besonders attraktive Ziele, da sie riesige Archive hochsensibler Kundendaten beherbergen, darunter Transaktionsdateien, Fusions- und Übernahmepläne, Geschäftsgeheimnisse und regulatorische Berichte von Unternehmen. Bedrohungsakteure erkennen, dass Rechtsdienstleister erheblichen Reputations- und Regulierungsrisiken ausgesetzt sind, was sie hochmotiviert, Erpressungsforderungen leise zu erfüllen, um ihren professionellen Ruf und das Vertrauen ihrer Kunden zu wahren. ### Das Social-Engineering-Playbook Die Angriffe beginnen typischerweise mit Phishing-E-Mails im Rechnungsformat, die von privaten Konten versendet werden. Diese anfänglichen E-Mails sind harmlos und enthalten keine bösartigen Links oder Anhänge, sondern dienen lediglich als Vorbereitung für nachfolgende Telefonanrufe. Bei diesen Anrufen geben sich die Angreifer als IT-Mitarbeiter des Unternehmens aus und verleiten Mitarbeiter dazu, sich über Plattformen wie **Microsoft Teams**, **Zoom**, **Quick Assist** oder **Microsoft Terminal Services** an Remote-Support-Sitzungen zu beteiligen. Diese Callback-Phishing-Technik ist seit Jahren ein fester Bestandteil der Vorgehensweise dieser Bedrohungsakteure und wurde zuvor bei **BazarCall**-Kampagnen im Zusammenhang mit **Ryuk**- und **Conti**-Ransomware-Angriffen beobachtet. Indem sie die Opfer dazu bringen, sie zurückzurufen, umgehen die Angreifer traditionelle E-Mail-Sicherheitsmaßnahmen. Während der Remote-Sitzungen werden die Ziele dazu überredet, legitime Remote-Monitoring- und Management-Tools wie **AnyDesk**, **Zoho Assist**, **Bomgar** oder **SuperOps** zu installieren, wodurch die Angreifer den ersten Zugriff auf das Unternehmensnetzwerk erhalten.  ### Infiltrations- und Exfiltrationstaktiken **Mandiant** identifizierte auch Phishing-Domains, die darauf ausgelegt sind, interne IT-Portale zu imitieren, mit Benennungskonventionen wie: * `<organization>-itdesk[.]com` * `<organization>-it[.]com` * `<organization>-helpdesk[.]com` Um die Erkennung weiter zu umgehen, verwenden die Bedrohungsakteure `privnote[.]com`, einen selbstzerstörenden Messaging-Dienst, um Installationslinks und Befehle während der Remote-Support-Sitzungen zu teilen. Dies minimiert forensische Artefakte in Browserverläufen oder Unternehmens-Chat-Protokollen. Sobald sie sich im Netzwerk befinden, durchsucht die Gruppe sorgfältig nach sensiblen juristischen und finanziellen Dokumenten, einschließlich Verträgen, Steuerunterlagen, Sozialversicherungsnummern und F&A-Dateien. Sie zielen häufig auf Dokumentenmanagementplattformen und Cloud-Speicher-Repositories ab und exfiltrieren Daten mit Tools wie **WinSCP** oder **Rclone**. ### Aggressive Erpressung und sich entwickelnde Taktiken Die Erpressungsoperationen der **Silent Ransom Group** sind bemerkenswert aggressiv, wobei Lösegeldforderungen oft innerhalb von 30 Minuten nach dem Verlassen der Umgebung des Opfers durch die Angreifer eintreffen. Diese Forderungen sehen in der Regel eine Frist von drei Tagen für Verhandlungen vor. Bei Nichteinhaltung drohen sie damit, Zielmitarbeiter und externe Kunden direkt zu kontaktieren, den Datenbruch offenzulegen und die potenziellen Reputationsschäden, behördlichen Strafen und Klagen von Kunden hervorzuheben. Obwohl forensische Beweise begrenzt sind, glaubt **Mandiant**, dass die Warnungen des **FBI** vor Angriffen mit Datendiebstahl vor Ort wahrscheinlich mit **UNC3753** in Verbindung stehen, aufgrund von Ähnlichkeiten in der Zielauswahl, den Zeitplänen und dem operativen Verhalten. Die **Silent Ransom Group** ist seit mindestens 2022 aktiv, ursprünglich als Teil des **Ryuk**- und **Conti**-Cyberkriminalitätssyndikats. Nach der Abschaltung des **Conti**-Syndikats ging die Gruppe zu eigenständigem Datendiebstahl und Erpressung über und gab die traditionelle Ransomware-Verschlüsselung zugunsten reiner Datenexfiltration und Drucktaktiken auf. In einem separaten Bericht enthüllte **Resecurity**, dass die Bande auch Fast-Flux-Infrastrukturen einsetzt, um ihre Datenleckplattformen zu verbergen und zu schützen. Diese Methode beinhaltet das ständige Rotieren der IP-Adressen einer Domain durch einen großen Pool kompromittierter privater Geräte in mehreren Ländern und bei verschiedenen ISPs, was die Bereinigung und Blockierung erheblich erschwert. **Resecurity** ordnete die Leak-Site `business-data-leaks[.]com` der Gruppe solchen Infrastrukturen zu, die über private Proxy-Netzwerke in Lateinamerika, Osteuropa, Zentralasien, dem Nahen Osten und Asien betrieben werden. ### Verteidigungsempfehlungen Zur Abmilderung dieser Bedrohungen empfehlen sowohl **Mandiant** als auch das **FBI** robuste Sicherheitsmaßnahmen: * Implementieren Sie strenge Verifizierungsverfahren für alle IT-Support-Interaktionen. * Beschränken Sie die Nutzung von Remote-Zugriffstools. * Erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für alle Systeme. * Beschränken Sie die Nutzung von USB-Speichergeräten. * Führen Sie regelmäßige Mitarbeiterschulungen durch, um Voice-Phishing (Vishing)-Versuche zu erkennen und zu melden.