Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 08.06.2026 · 4 min Lesezeit

Silent Ransom Group greift Anwaltskanzleien per Vishing an – FBI und Mandiant warnen

FBI und Google Mandiant warnen vor gezielten Vishing-Angriffen der Silent Ransom Group auf US-Anwaltskanzleien. Die Täter geben sich als IT-Support aus, erscheinen teils physisch im Büro und stehlen vertrauliche Mandantendaten – oft in unter einer Stunde.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Mitarbeitende melden sich sicher mit Passwortmanager und Passkeys im Unternehmen an

Die Erpressergruppe Silent Ransom Group – auch als Luna Moth oder UNC3753 bekannt – führt seit Januar 2026 eine gezielte Angriffswelle gegen amerikanische Anwaltskanzleien und professionelle Dienstleister. Das FBI und Google Mandiant haben am 5. Juni 2026 gemeinsam vor der Kampagne gewarnt: Die Täter nutzen Voice-Phishing (Vishing), geben sich als IT-Supportmitarbeiter aus und stehlen vertrauliche Mandantendaten – in einigen Fällen sogar durch das physische Erscheinen fingierter Techniker vor Ort. Besonders beunruhigend ist die Geschwindigkeit: Der gesamte Angriff läuft häufig in unter einer Stunde ab.

Was ist passiert – der Angriffsablauf

Die Silent Ransom Group kontaktiert Mitarbeiter von Anwaltskanzleien per Telefon und gibt sich als interner oder externer IT-Support aus. Ziel ist es, die Angerufenen zur Freigabe einer Bildschirmfreigabe-Session zu bewegen oder ein Remote-Management-Tool (RMM) zu installieren. Sobald der Zugang besteht, exfiltrieren die Täter vertrauliche Daten direkt vom Rechner des Opfers.

In mehreren dokumentierten Fällen gingen die Angreifer noch weiter: Fingierte IT-Mitarbeiter erschienen physisch in den Büros der Opfer und schleusten Daten über USB-Laufwerke oder Remote-Verbindungen aus. Die Mandiant-Forscher identifizierten Dutzende betroffene Organisationen in den Bereichen Recht, Finanzen und Unternehmensberatung. Angegriffen wurden primär US-amerikanische Einrichtungen, die Methodik ist jedoch auf andere Regionen übertragbar.

Im Unterschied zu klassischen Ransomware-Gruppen setzt die Silent Ransom Group keine Verschlüsselung ein. Das Geschäftsmodell basiert ausschließlich auf Datendiebstahl und anschließender Erpressung: Die gestohlenen Unterlagen – darunter M&A-Pläne, Firmengeheimnisse und regulierte Dokumente – werden als Druckmittel genutzt, um Zahlungen zu erzwingen.

Bin ich betroffen?

Primär im Fokus stehen US-amerikanische Anwaltskanzleien, insbesondere solche mit Mandaten im M&A-Bereich, in der Unternehmensberatung oder mit regulierten Unterlagen. Die Kampagne lief nachweislich von Januar bis Mai 2026 und erfasste Dutzende Organisationen in professionellen, juristischen und Finanzdienstleistungen.

Auch für DACH-Kanzleien und Beratungsunternehmen ist die Warnung relevant: Die Methodik – Kaltanrufe mit IT-Support-Legende, RMM-Tool-Anfragen und physisches Erscheinen fingierter Techniker – lässt sich ohne Weiteres auf andere Länder übertragen. Organisationen sollten prüfen, ob in den vergangenen Monaten ungewöhnliche Supportanrufe eingegangen sind, ob RMM-Software außerhalb des regulären Ticket-Prozesses installiert wurde oder ob Besucher mit IT-Bezug ohne ordnungsgemäße Ankündigung und Überprüfung Zutritt erhalten haben.

Einen grundlegenden Einstieg in die Absicherung gegen Phishing und Social Engineering bietet die s-edv.com-Anleitung Phishing erkennen und melden – Leitfaden für das Team.

Wie lässt sich das beheben und vorbeugen?

Das FBI und Mandiant empfehlen ein mehrschichtiges Maßnahmenpaket:

  • Mitarbeitersensibilisierung: Kein legitimer IT-Support meldet sich unaufgefordert per Telefon. Eingehende Supportanrufe müssen immer über offizielle, unabhängige Kanäle verifiziert werden – niemals durch Rückruf auf die vom Anrufer genannte Nummer.
  • RMM-Tool-Kontrolle: Downloads und Installationen von Remote-Management-Software sind ausschließlich nach einem durch Multi-Faktor-Authentifizierung gesicherten Ticket-Prozess zu genehmigen. Ungeplante Installationsaufforderungen sind als Warnsignal zu behandeln.
  • Physische Zugangskontrollen: IT-Besucher müssen vorab angekündigt, identifiziert und von einem internen Mitarbeiter begleitet werden. USB-Laufwerke externer Personen dürfen nicht an Unternehmenssysteme angeschlossen werden.
  • Mehrfaktor-Authentifizierung: MFA auf allen Systemen reduziert den Schaden, den Angreifer nach einer kompromittierten Bildschirmfreigabe-Session anrichten können. Die Einführung beschreibt die Anleitung Zwei-Faktor-Authentifizierung (2FA/MFA) einführen.
  • Notfallplan: Für den Fall einer Kompromittierung sollte ein erprobter Notfallplan vorhanden sein. Erste Schritte beschreibt die Anleitung Ransomware-Notfallplan – die ersten 60 Minuten.

Was bedeutet das für Unternehmen?

Der Verlust hochsensibler Mandantendaten durch die Silent Ransom Group hat weitreichende Konsequenzen: Für Anwaltskanzleien drohen neben Reputationsschäden auch anwaltliche Haftung gegenüber den Mandanten sowie – im europäischen Rechtsraum – DSGVO-Meldepflichten und mögliche Bußgelder. Besonders gefährlich ist die Situation für Kanzleien, die DAX-Unternehmen oder internationale Konzerne bei M&A-Transaktionen begleiten: Durchgesickerte Übernahmepläne können erhebliche Marktverwerfungen und Schadensersatzansprüche auslösen.

Die Methode ohne Ransomware-Verschlüsselung erschwert zudem die Früherkennung: Herkömmliche Endpoint-Detection-Lösungen schlagen bei reinem Datenabfluss über legitime Tools wie Screen-Sharing-Software seltener an als bei klassischer Malware. Organisationen sollten Data-Loss-Prevention-Maßnahmen und Netzwerküberwachung priorisieren.

Der Angriff zeigt exemplarisch, dass technische Schutzmaßnahmen allein nicht ausreichen – die menschliche Komponente bleibt das entscheidende Einfallstor. Regelmäßige Schulungen und klare interne Eskalationsprozesse für verdächtige Anrufe sind unverzichtbar.

Quellen

BleepingComputer: Silent Ransom Group targets law firms with fake IT support calls | TechCrunch: Google and FBI warn of ransomware group that sends fake IT workers to hack victims in person | FBI IC3 Advisory: Silent Ransom Group Impersonating IT Personnel (PDF)

Verwandt

Weiter lesen

Alle Artikel →
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff
08.06.2026 ·4 min

C0XMO-Botnet befällt DD-WRT-Router und eliminiert Konkurrenz-Malware

Fortinet-Forscher haben eine neue Gafgyt-Variante namens C0XMO entdeckt, die über eine kritische Lücke in DD-WRT-Router-Firmware verbreitet wird – und kompromittierte Geräte aktiv von konkurrierender Botnet-Malware befreit, um Ressourcen exklusiv zu nutzen.
Google Chrome Logo umgeben von leuchtendem Schutzschild und 429 Patch-Symbolen – Symbolbild zum rekordhaften Sicherheitsupdate Chrome 149.
07.06.2026 ·3 min

Google Chrome 149: Rekordhaftes Sicherheitsupdate schließt 429 Schwachstellen

Google hat Chrome 149 am 2. Juni 2026 mit einem historisch umfangreichen Sicherheitsupdate veröffentlicht: 429 Schwachstellen wurden behoben, darunter 22 kritische – mehr als je zuvor in einem einzigen Browser-Update. Sofortiges Aktualisieren wird dringend empfohlen.
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff
07.06.2026 ·3 min

SolarWinds Serv-U: CISA meldet aktiv ausgenutzte DoS-Lücke CVE-2026-28318, Patch verfügbar

Die US-Behörde CISA hat CVE-2026-28318 in SolarWinds Serv-U in den KEV-Katalog aufgenommen. Angreifer können ohne Authentifizierung den Dienst per manipuliertem HTTP-POST zum Absturz bringen. US-Bundesbehörden müssen bis 19. Juni 2026 patchen – Hotfix 15.5.4 HF1 ist verfügbar.