Am 26. Mai 2026 veröffentlichte das FBI eine FLASH-Warnung (FLASH-20260526-01, TLP:CLEAR) zur „Silent Ransom Group“. Darin dokumentiert das FBI eine bisher beispiellose Eskalation: die Entsendung einer Person in die Büroräume eines Unternehmens, um eine Festplatte an einen Computer anzuschließen und Daten zu exfiltrieren. Bis zum 15. Juni 2026 zählte ransomware.live 115 Organisationen, die Opfer der Gruppe geworden waren, davon 107 in den Vereinigten Staaten; in den allermeisten Fällen zieht die Gruppe den Datendiebstahl und die Androhung der Veröffentlichung der Verschlüsselung von Dateien vor. Die Gruppe, die seit mindestens 2022 aktiv ist, hat nach und nach jegliche Malware aufgegeben. Ihre Angriffskette stützt sich heute im Wesentlichen auf Social Engineering per Telefon, legitime Tools und Reputationsdruck. Dass sie mittlerweile Leute losschicken, um an Türen zu klopfen, sagt etwas ganz Bestimmtes über den Stand der Erpressung im Jahr 2026 aus – und über die Grenzen von Abwehrmaßnahmen, die ausschließlich auf den digitalen Perimeter ausgerichtet sind.
Wer ist die Silent Ransom Group
Die Silent Ransom Group, die unter den Namen Luna Moth, Chatty Spider und UNC3753 bekannt ist, stiehlt Daten und droht mit deren Veröffentlichung. Keine Verschlüsselung mehr, kein Schlüssel, den man zu Geld machen könnte. Das FBI stuft sie ausdrücklich als Akteur ein, der „Datendiebstahl und Erpressung betreibt, ohne auf die traditionelle Verschlüsselung von Ransomware zurückzugreifen “.
Seit mindestens 2023 zielt die Gruppe vorrangig auf US-Anwaltskanzleien ab – Organisationen, die Daten Dritter mit hohem Reputationswert besitzen und deren Interesse an einer diskreten Beilegung eines Erpressungsvorfalls strukturell hoch ist. Der Ablauf ist mittlerweile dokumentiert. Ein Mitarbeiter einer Anwaltskanzlei erhält einen Anruf von seiner vermeintlichen IT-Abteilung, öffnet eine Bildschirmfreigabe, um ein als dringend dargestelltes Sicherheitsproblem zu beheben, und wenige Stunden später sind Hunderte von Gigabyte vertraulicher Dokumente aus dem Netzwerk verschwunden. Die darauf folgende Erpressungsforderung gibt drei Tage Zeit zur Antwort, und eine Zahlung garantiert nichts: Unit 42 hat Fälle dokumentiert, in denen die Gruppe nach Zahlungseingang jegliche Kommunikation einstellte, ohne einen Nachweis für die Löschung der Daten zu erbringen.
Um zu verstehen, warum SRG ohne auch nur eine einzige Zeile bösartigen Codes funktioniert, muss man zu seinen Ursprüngen zurückgehen.
Eine Verbindung zum Conti-Ökosystem und den BazarCall-Kampagnen
Mandiant verfolgt UNC3753 als eigenständigen Cluster, der Überschneidungen bei Taktiken, Techniken und Verfahren mit UNC2686 aufweist, dem Cluster, der mit den BazarCall-Kampagnen in Verbindung steht. Diese Kampagnen verschafften Conti und Ryuk zwischen 2021 und 2022 den ersten Zugriff über ein Callback-Phishing-Schema: Eine alarmierende E-Mail veranlasste den Empfänger, eine vom Angreifer kontrollierte Nummer anzurufen, der ihn anschließend dazu manipulierte, die BazarLoader-Malware zu installieren.
Nach der Auflösung des Conti-Syndikats im Frühjahr 2022 positionierte sich dieser Cluster als eigenständiger Akteur unter dem Namen Silent Ransom Group neu. Die Kontinuität lässt sich in der Angriffskette erkennen: Während BazarCall BazarLoader, TRICKBOT, URSNIF und SILENTNIGHT einsetzte, hat UNC3753 sein Arsenal von jeglicher bösartiger Payload bereinigt und durch legitime Fernüberwachungs- und -verwaltungs-Tools (RMM). Die Gruppe setzte die Ransomware LockBit.Black zwar 2022 bei bestimmten Operationen ein, gab sie jedoch später auf, um sich ausschließlich auf Erpressung durch Datendiebstahl zu konzentrieren – ein Modell, das das Hauptargument der Opfer gegen eine Zahlung entkräftet: die Verfügbarkeit ihrer Backups.
Eine malwarefreie Angriffskette, abgeschlossen in weniger als einer Stunde
Zwischen Januar und Mai 2026 veröffentlichte Mandiant die erste umfassende öffentliche Analyse des operativen Zyklus von UNC3753, basierend auf mehreren Incident-Response-Einsätzen bei US-amerikanischen Anwaltskanzleien und Finanzinstituten. Dieser Bericht stellt bis heute die detaillierteste technische Referenz zu dieser Gruppe dar.
Der Operationszyklus der Gruppe zeichnet sich durch seine Schnelligkeit aus. Mandiant hat Vorfälle dokumentiert, bei denen der gesamte Ablauf, vom ersten Kontakt bis zur Exfiltration, an einem einzigen Arbeitstag stattfand, wobei die Recherche, die Inszenierung und der Diebstahl von Dateien manchmal weniger als eine Stunde dauerten.
Die taktische Wende im März 2025
Drei Jahre lang begann die Abfolge mit E-Mails zum Thema Abonnements, gefälschten Warnmeldungen zur Softwareverlängerung, meist begleitet von einer PDF-Datei mit einer Telefonnummer zu einem vom Angreifer kontrollierten Callcenter. Ab März 2025 dokumentiert Mandiant eine Verschiebung: Die Gruppe verzichtet auf die Imitation von Drittmarken und gibt sich nun direkt als interner IT-Support der angegriffenen Organisation aus. Der operative Unterschied ist erheblich: Der Mitarbeiter erhält keinen Anruf mehr von einem externen Dienstleister, den er überprüfen kann, sondern von einem vermeintlichen Mitglied der IT-Abteilung oder des Sicherheitsteams der Organisation, an dem er keinen Grund hat zu zweifeln – insbesondere, wenn ihm eine verdächtige E-Mail gerade einen glaubwürdigen Vorwand geliefert hat, den Support zu kontaktieren. Zur gleichen Zeit stellt Halcyon fest, dass die Gruppe begonnen hat, KI-Chatbots über die Plattform Reamaze auf Helpdesk-Portalen einzusetzen, die im Namen der Zielorganisationen typosquattet wurden, und so den ersten Kontaktpunkt mit den Opfern zu automatisieren. Diese Entwicklung vermerkt auch das FBI in seiner Warnung vom Mai 2026.
Der erste Zugang über Vishing
Die Abfolge beginnt mit einer harmlosen E-Mail zum Thema Rechnungsstellung, die von einem öffentlichen Konto versendet wird. Sie enthält weder aktive Links noch Anhänge: Ihre einzige Aufgabe besteht darin, einen glaubwürdigen Vorwand für den folgenden Anruf zu schaffen. Ein Angreifer gibt sich als interner IT-Support oder als Mitglied des Sicherheitsteams aus und ruft den Zielmitarbeiter direkt an, der anhand öffentlicher Verzeichnisse der Organisation (Website, LinkedIn) auf allen Hierarchieebenen identifiziert wurde. Anschließend leitet er das Ziel zu einer Bildschirmfreigabe über Zoom, Microsoft Teams, Quick Assist oder die Microsoft-Terminaldienste und nutzt diese visuelle Kontrolle, um die Installation eines RMM-Agenten zu erzwingen: AnyDesk, Bomgar, Zoho Assist oder in einigen Fällen SuperOps. Die Installation wird durch einen cURL-Befehl ausgelöst, der über Privnote übertragen wird, einen selbstzerstörenden Messaging-Dienst, der weder in den Browser-Protokollen noch in den E-Mail-Logs des Unternehmens Spuren hinterlässt.
Der Wechsel zur internen Infrastruktur
Sobald der Zugriff hergestellt ist, wenden sich die Angreifer der internen Infrastruktur zu. Es wurde beobachtet, wie sie Zoom-Sitzungen auf privaten Geräten (BYOD) ausnutzten, um über native Windows 365- oder Citrix-Clients in die VDI-Infrastruktur des Unternehmens vorzudringen. Von diesen virtuellen Umgebungen aus kartieren sie lokale Ordner, aktive OneDrive-Ordner und zugeordnete Netzwerkfreigaben. In Anwaltskanzleien zielen sie gezielt auf Dokumentenmanagement-Plattformen wie iManage ab, wo sie Stichwortsuchen starten, um Steuerunterlagen (Formulare W-2, W-9, 1099), Prüfungsunterlagen, Kundenverträge und Sozialversicherungsnummern zu finden.
Exfiltration über öffentlich zugängliche Kanäle
Die Exfiltration passt sich den bestehenden Kontrollen an. Die Gruppe nutzt portable Versionen von WinSCP oder Rclone für umfangreiche FTP-/SFTP-Übertragungen. Wenn die Endpunktkontrollen es zulassen, verbinden sich die Akteure direkt über den Browser des Opfers mit einem von ihnen kontrollierten Dateifreigabedienst für die breite Öffentlichkeit (u. a. Google Drive) und verschieben die präparierten Dateien per Drag-and-Drop dorthin, wobei sie diese manchmal umbenennen, um das Corporate Design der Zielorganisation nachzuahmen. In einem von Mandiant dokumentierten Vorfall exfiltrierte die Gruppe 1,7 GB aus dem lokalen OneDrive-Ordner auf Google Drive und wechselte dann zur VDI, um über WinSCP weitere 14,4 GB zu exfiltrieren. Google hat die betreffenden Drive-Konten inzwischen deaktiviert. In anderen Fällen ließen die Angreifer die Dateien direkt aus iManage von den Opfern selbst übermitteln, die angewiesen wurden, diese per E-Mail an kontrollierte Adressen zu senden. Doch seit dem Frühjahr 2026 beschränkt sich die Vorgehensweise nicht mehr nur auf den digitalen Bereich.
Von Vishing bis zum physischen Eindringen: gefälschte Techniker werden in die Büros geschickt
Seit dem Frühjahr 2026 hat das FBI eine beispiellose Eskalation dokumentiert: Wenn Social Engineering aus der Ferne scheitert, wird eine Person physisch in die Räumlichkeiten der Zielorganisation geschickt. Er gibt sich als IT-Techniker aus und überzeugt die Mitarbeiter davon, dass er die Festplatte kopieren oder ein lokales Backup erstellen muss, um die Folgen einer entdeckten Phishing-E-Mail zu beheben. Sobald er Zugang zu einem Computer erhalten hat, schließt er einen USB-Stick oder eine externe Festplatte an und exfiltriert die Daten direkt.
Seit dem Frühjahr 2026 dokumentiert das FBI diese Eskalation in seiner FLASH-Warnung vom 26. Mai 2026: „Wenn dieser Versuch scheitert, schickt SRG einen Cyberkriminellen zum Opfer, um auf dessen Computer zuzugreifen und dort ein Speichermedium anzuschließen. Im Rahmen dieses Vorgehens erklärt der Cyberkriminelle dem Opfer, er müsse ein Image des Geräts oder eine Sicherungsdatei erstellen, um den möglichen Folgen der Phishing-E-Mail entgegenzuwirken.“
Mandiant schätzt, dass diese physischen Eindringversuche wahrscheinlich mit UNC3753 in Verbindung stehen , basierend auf Übereinstimmungen in Struktur, Zeitablauf und Zielauswahl. Die Forscher betonen jedoch, dass „der Mangel an forensischen Beweisen und das Fehlen eines anschließenden Erpressungsversuchs eine offizielle Zuordnung verhindern “.
Für die betroffenen Organisationen stellt sich nun eine doppelte Frage: Wie lässt sich die Identität eines Anrufers am Telefon überprüfen, aber auch die eines Besuchers, der an der Rezeption erscheint und angibt, vom IT-Support zu sein?
Warum US-Anwaltskanzleien das ideale Ziel sind
Das Anvisieren amerikanischer Anwaltskanzleien ist seit mindestens 2023 eine Konstante der Gruppe. Das FBI gab im Mai 2025 eine erste Warnung heraus, gefolgt von einer FLASH-Warnung im Mai 2026, also genau ein Jahr später, was auf eine anhaltende Bedrohung hindeutet.
Das Profil dieser Ziele passt zum Muster eines Akteurs, der eher auf Erpressung durch Rufschädigung als durch Verschlüsselung setzt. Die Kanzleien verfügen über große Mengen an äußerst sensiblen Daten (Kundentransaktionsunterlagen, Fusions- und Übernahmepläne, Geschäftsgeheimnisse, aufsichtsrechtliche Berichte), unterliegen strengen Vertraulichkeitsverpflichtungen und einer hohen regulatorischen Belastung und haben ein starkes Interesse daran, einen Erpressungsvorfall diskret beizulegen, um ihren beruflichen Ruf zu schützen. Resecurity stellt fest, dass im ersten Quartal 2026 Anwaltskanzleien fast ein Viertel aller verfolgten Ransomware-Vorfälle ausmachten, womit sie der viertmeistbetroffene Sektor waren. Über den Rechtsbereich hinaus hatte die Gruppe auch Wirtschaftsprüfungsgesellschaften sowie die Branchen Versicherung, Finanzen, Gesundheitswesen und Hotellerie im Visier.
Im Juni 2026 listete die Leak-Website LEAKEDDATA der Gruppe (business-data-leaks[.]com) laut Resecurity fast 100 betroffene Organisationen auf, während ransomware.live am 15. Juni 2026 115 zählte , davon 107 in den USA: Business Services (63 Opfer) und Financial Services (42 Opfer) dominieren die Angriffe. Die Gruppe selbst behauptet, dass die große Mehrheit der angegriffenen Kanzleien bereit ist zu zahlen, was die Zahl der tatsächlichen Angriffe deutlich über die auf der Leak-Website veröffentlichten Opferzahlen hebt.
Ein reines Erpressungsmodell, auf Druck ausgelegt
Das Fehlen einer Verschlüsselung ist der Eckpfeiler des Geschäftsmodells der Gruppe. Im Gegensatz zur klassischen doppelten Erpressung, die Verschlüsselung und die Androhung einer Veröffentlichung kombiniert, setzt die Silent Ransom Group ausschließlich auf den Reputationsaspekt: Die Daten werden gestohlen und dienen dann als Druckmittel für die Erpressung.
Die Erpressungsnachrichten treffen oft innerhalb von 30 Minuten nach dem Verlassen der Zielumgebung durch die Angreifer ein. Sie geben der Organisation drei Tage Zeit, um Verhandlungen aufzunehmen. Ohne Reaktion droht die Gruppe, Mitarbeiter, Partner und Kunden des Opfers direkt zu kontaktieren, um sie über den Datenverstoß zu informieren, wodurch der interne Druck durch externen Druck verstärkt wird, und kündigt die Veröffentlichung der exfiltrierten Daten auf LEAKEDDATA an. Die typische Erpressungs-E-Mail, von der Mandiant ein Beispiel veröffentlicht hat, betont die regulatorischen Risiken, Geldstrafen, Rechtsmittel geschädigter Kunden und den Rufschaden, bevor sie mit einer expliziten Frist endet: „Sie haben 3 Tage Zeit, um den Kontakt aufzunehmen. “ Die Rechnung geht auf: Dieses Modell lässt sich schneller umsetzen als ein Ransomware-Angriff, erfordert keine Entwicklung von Malware, hinterlässt kaum forensische Spuren und umgeht direkt die wichtigste Verteidigungsmaßnahme der Opfer, nämlich die Wiederherstellung aus einem Backup.
Eine Leak-Website im Clearnet, getarnt durch ein Fast-Flux-Netzwerk
Während die große Mehrheit der Ransomware-Gruppen ihre Leak-Seiten auf Tor hostet, stellt die Silent Ransom Group ihre im Clearnet zur Verfügung. Resecurity sieht darin eine bewusste Entscheidung: den Opfern ohne Tor-Browser den Zugang zu erleichtern, die öffentliche Sichtbarkeit zu erhöhen, um den Reputationsdruck zu verstärken, und die Infrastruktur zu vereinfachen. Eine Leak-Seite, die über jeden gängigen Browser zugänglich ist, macht jede Veröffentlichung zu einem für alle einsehbaren Ereignis.
Diese Sichtbarkeit wird durch eine Fast-Flux-DNS-Infrastruktur ausgeglichen. Resecurity hat festgestellt, dass die beiden Hauptdomains der Gruppe, ep6pheij[.]com und business-data-leaks[.]com, über ein Fast-Flux-Netzwerk betrieben werden, das von einem Botnetz mit 24 IP-Adressen gespeist wird, die sich auf 18 Länder und 22 verschiedene Internetdienstanbieter verteilen. Konkret verweisen die beiden Domains nie länger als ein paar Minuten auf denselben Server: Jede DNS-Anfrage gibt gleichzeitig 10 bis 18 IP-Adressen zurück, die alle 2 bis 3 Minuten rotierend erneuert werden. Alle IP-Adressen stammen von privaten Anschlüssen, wahrscheinlich kompromittierten Routern, Modems und Heim-Gateways (IoT-Geräte und CPE). 50 bis 60 % der Verbindungen werden von beiden Domains gemeinsam genutzt, was auf einen einzigen Betreiber hindeutet. Die stärkste geografische Konzentration liegt in Lateinamerika (50 % der Knoten), mit infizierten Heimgeräten in Bolivien, Mexiko, Argentinien, Ecuador, Kolumbien und der Karibik.
Beide Domains sind bei Web Commerce Communications Limited (WebNic[.]cc) registriert, einem ICANN-akkreditierten Registrar aus Südostasien, der auch die Nameserver verwaltet, die die Rotation der IP-Adressen steuern. Die Leak-Website nutzt einen Token-Mechanismus, der den Traffic Distribution Identifiers (TDS) ähnelt und dynamische URLs generiert, um jeden Besucher zu einem bestimmten Ordner mit gestohlenen Daten weiterzuleiten. Dieses System erfüllt einen doppelten Zweck: Es erleichtert den Opfern den Zugriff auf ihre eigenen gestohlenen Daten und verhindert gleichzeitig das automatische Scraping des Website-Index, was die Analyse durch Dritte und Forscher erschwert. Resecurity hat im Mai 2026 zudem ein verwandtes Projekt namens Spy Corporate (spycorp[.]pro) entdeckt, das dieselbe IP-Rotationsinfrastruktur, denselben CSRF-Token-Mechanismus und denselben Registrar nutzt, wobei eine Anwaltskanzlei zu den ersten veröffentlichten Opfern zählt.
Zwei FBI-Warnungen in einem Jahr, keine Festnahmen
Die Reaktion der Behörden beschränkte sich auf Warnmeldungen. Das FBI veröffentlichte im Mai 2025 eine Warnmeldung für die Privatwirtschaft, gefolgt von einer FLASH-Warnung im Mai 2026, die den Bedrohungsumfang erweitert, indem sie physische Einbruchsversuche ausdrücklich einbezieht – eine Eskalation, die das FBI als ausreichend besorgniserregend erachtet, um sie zu einem eigenständigen Angriffsindikator zu machen. Bis heute sind der Gruppe öffentlich keine Festnahmen, Anklagen oder Strafen zugeordnet.
Mandiant stellt fest, dass die fast ausschließliche Verwendung legitimer Tools (kommerzielle RMM-Lösungen, gängige Filesharing-Anwendungen, kurzlebige Kommunikationskanäle) nach einem Vorfall nur sehr wenige verwertbare Spuren hinterlässt. Das FBI bestätigt dies in seiner FLASH-Warnung: „Die jüngsten Kampagnen der SRG haben auf den kompromittierten Rechnern kaum Spuren hinterlassen. Herkömmliche Antivirenprogramme haben zudem kaum eine Chance, den Einbruch zu erkennen, da die SRG in der Regel legitime Systemverwaltungs- oder Fernzugriffstools einsetzt, um ihren Angriff durchzuführen. “ Das FBI weist zudem darauf hin, dass die Verwendung dieser Tools an sich nicht als böswillig angesehen werden sollte, solange keine analytischen Beweise dafür vorliegen, dass sie unter der Anleitung der Gruppe eingesetzt werden.
Empfohlene Abwehrmaßnahmen gegen Vishing und physische Eindringversuche
Die Empfehlungen von Mandiant und dem FBI stimmen in einigen konkreten Punkten überein. An erster Stelle steht die Identitätsprüfung über einen separaten Kanal. Jede Fernzugriffsanfrage, die durch einen unaufgeforderten Anruf oder eine E-Mail initiiert wird, muss über einen unabhängigen Kanal bestätigt werden (Rückruf unter einer offiziellen, gelisteten Nummer, Bestätigung beim direkten Vorgesetzten), bevor eine Bildschirmfreigabe-Sitzung eröffnet wird, selbst wenn der Gesprächspartner interne Details der Organisation zu kennen scheint. Diese Wachsamkeit gilt auch für Besucher: Das FBI empfiehlt, systematisch eine Kopie des amtlichen Ausweises jedes externen technischen Dienstleisters anzufertigen, der vor Ort erscheint.
Die Umgebungen müssen anschließend die Installation aller nicht genehmigten RMM-Tools über Richtlinien zur Anwendungskontrolle (Windows Defender Application Control oder gleichwertige Lösungen), die die Ausführung nicht gelisteter Binärdateien verhindern, und die Funktionen zur interaktiven Bildschirmsteuerung in Zoom und Teams für nicht-technisches Personal einzuschränken. Richtlinien für den bedingten Zugriff müssen sicherstellen, dass sich nur von der Organisation verwaltete Geräte bei der VDI- oder VPN-Infrastruktur authentifizieren, wobei bei Zugriff durch ein privates Gerät eine verstärkte MFA (Step-up) erforderlich ist. Zum Schutz vor physischer Datenexfiltration müssen Lese- und Schreibzugriffe auf USB-Sticks und Wechseldatenträger per GPO oder MDM deaktiviert werden, sowohl auf Unternehmensgeräten als auch auf BYOD-Geräten, die als VDI-Zugangspunkte genutzt werden.
Bleibt die Erkennung einer laufenden Datenentwendung. Eine lückenlose Protokollierung der Datenübertragungen auf Firewall-Ebene, Warnmeldungen bei ausgehenden Verbindungen zu nicht autorisierten Dateifreigabe-APIs sowie die Überwachung des SSH-Datenverkehrs (Port 22) auf umfangreiche WinSCP- und Rclone-Übertragungen ermöglichen es, den Datenabfluss zu erkennen. In iManage-, SharePoint- oder ähnlichen Umgebungen dienen Echtzeit-Warnmeldungen zu massiven Suchanfragen, Spitzen bei Suchbegriffen und Massen-Downloads als Frühwarnsignal.
Was dieses Modell über Erpressung im Jahr 2026 aussagt
Die Silent Ransom Group hat einen Teil der endpunktorientierten Verteidigungsinvestitionen hinfällig gemacht: Kein EDR meldet WinSCP oder Zoom als Bedrohung, kein Antivirenprogramm blockiert einen Telefonanruf. Die gleiche Verlagerung hin zu Social Engineering per Telefon ist auch bei anderen englischsprachigen Akteuren zu beobachten, wie beispielsweise in der von ShinyHunters durchgeführten Vishing-Kampagne gegen die SSO-Konten globaler Unternehmen: Der Mensch rückt wieder in den Mittelpunkt.
Das physische Eindringen überschreitet eine weitere Schwelle. Dies bedeutet, dass die Sicherheit der digitalen Perimeter nicht mehr ausreicht, wenn der Zugang zu den Räumlichkeiten nicht gleichwertigen Authentifizierungsverfahren unterliegt: Für eine Anwaltskanzlei oder einen Finanzdienstleister wird ein unangekündigter Besucher, der sich als IT-Support ausgibt, zu einem vollwertigen Angriffsvektor. Und der Aufstieg der Gruppe fällt mit einem Rückgang der Lösegeldzahlungsquote im Jahr 2025 zusammen: Wenn die Opfer der Verschlüsselung besser widerstehen, wird das Setzen auf Reputation, Vertraulichkeit und regulatorischen Druck zu einer rentablen Alternative, ohne dass ein technischer Aufwand entwickelt werden muss.
Solange der Reputationswert der Daten Dritter, die sich im Besitz von Anwaltskanzleien, Wirtschaftsprüfern, Versicherern und Gesundheitsdienstleistern befinden, die Kosten eines Lösegelds übersteigt, bleibt die wirtschaftliche Logik der Silent Ransom Group intakt. Ihre wirksamste Waffe ist kein Verschlüsselungsprogramm, sondern ein Telefonanruf, und genau das macht es so schwer, sie mit technischen Mitteln zu stoppen.
Solange der Reputationswert der Daten Dritter, die sich im Besitz von Anwaltskanzleien, Wirtschaftsprüfern, Versicherern und Gesundheitsdienstleistern befinden, die Kosten eines Lösegelds übersteigt, bleibt die wirtschaftliche Logik der Silent Ransom Group intakt. Ihre wirksamste Waffe ist kein Verschlüsselungsprogramm, sondern ein Telefonanruf – und genau das macht es so schwer, sie mit Tools zu stoppen.
Quellen
Google Cloud Blog / Mandiant: Laufende gezielte Kampagne gegen US-Anwaltskanzleien
Resecurity: Silent Ransom Group (SRG): Aufdeckung der DNS-Fast-Flux-Infrastruktur
BleepingComputer: Silent Ransom Group zielt mit gefälschten IT-Support-Anrufen auf Anwaltskanzleien ab
BleepingComputer: FBI warnt vor persönlichen Datendiebstahlsangriffen durch Erpresserbanden
Infosecurity Magazine: Silent Ransom Group nutzt persönliche IT-Identitätsbetrug, um in Systeme einzudringen
Ransomware.live: SilentRansomGroup
SecurityWeek: Die Silent Ransom Group nutzt DNS Fast Flux bei Angriffen
