FBI warnt vor Silent Ransom Group, die Anwaltskanzleien mit betrügerischen Anrufen ins Visier nimmt

Das FBI hat US-Anwaltskanzleien vor einer zunehmenden Cyberbedrohung für den Rechtssektor gewarnt. Eine Gruppe namens Silent Ransom Group (SRG), auch Luna Moth oder Chatty Spider genannt, konzentriert ihre Angriffe seit Anfang 2023 auf Anwaltskanzleien und nutzt eine Kombination aus Phishing-E-Mails und Social-Engineering-Anrufen, um Zugriff auf sensible Rechtsdaten zu erhalten.

Diese Gruppe ist kein Neuling. Die SRG ist seit 2022 aktiv und hat bereits Branchen wie das Gesundheitswesen und die Versicherungsbranche im Visier. In den letzten Monaten sind Anwaltskanzleien jedoch zu ihrem Hauptziel geworden, wahrscheinlich aufgrund der sensiblen Kundendaten, die diese Kanzleien verarbeiten.

Bereits im November 2023 veröffentlichte das FBI eine Warnung, in der es auf den Einsatz von Callback-Phishing durch SRG zum Eindringen in Netzwerke hinwies. Bei diesen Angriffen versendet die Gruppe Phishing-Nachrichten, die als nicht anklickbare Bilder gestaltet sind. Sie erzeugen oft ein falsches Gefühl der Dringlichkeit und geben dem Empfänger eine Telefonnummer an, die er anrufen kann. Diese Taktik umgeht herkömmliche E-Mail-Sicherheitsfilter und verleitet Opfer zur Kontaktaufnahme, woraufhin die Angreifer sie dazu verleiten, ihre eigenen Systeme zu kompromittieren.

Ähnlich wie die Tickets sind auch die neuen Phishing-Kampagnen der SRG täuschend einfach. Sie versenden E-Mails, die vorgeben, von Unternehmen zu stammen, die Abonnementdienste anbieten, und warnen den Empfänger vor einer geringen, fragwürdigen Gebühr. Um zu kündigen, werden die Opfer aufgefordert, eine in der E-Mail angegebene Nummer anzurufen. Bei diesem Anruf überzeugen die Angreifer das Opfer, eine Fernzugriffssoftware herunterzuladen, wodurch SRG Zugang zu den Systemen des Unternehmens erhält.

Neu an dieser Kampagne ist jedoch, dass SRG begonnen hat, Mitarbeiter direkt anzurufen und sich als Mitarbeiter der IT-Abteilung auszugeben. Sie fordern die Mitarbeiter auf, an einer Remote-Sitzung teilzunehmen oder eine bestimmte Webseite zu besuchen. Dabei installieren sie wiederum Tools, die den Angreifern die Kontrolle geben. Sobald sie sich Zugang verschafft haben, nutzen sie Tools wie WinSCP oder getarnte Versionen von Rclone, um unbemerkt vertrauliche Daten zu exfiltrieren.

Nach dem Diebstahl der Daten verschickt die SRG Lösegeldforderungen und fordert die Zahlung, um die Veröffentlichung oder den Verkauf der gestohlenen Informationen zu verhindern. Manchmal ruft sie die Unternehmen sogar telefonisch an, um sie zu Verhandlungen zu drängen.

„Ähnlich wie bei ihren Phishing-E-Mails, in denen sie sich als Unternehmen mit einem Abonnement ausgeben, ruft SRG auch Mitarbeiter eines betroffenen Unternehmens an, um sie zu Lösegeldverhandlungen zu drängen.“

Das FBI

Bemerkenswert ist, dass die Warnung des FBI am selben Tag erfolgte, an dem der Bericht von Cofense Intelligence vom Mai 2025 den weit verbreiteten Missbrauch von Remote Access Tools (RATs) durch cyberkriminelle Gruppen aufdeckte. Der Bericht identifizierte ConnectWise ScreenConnect als das bisher am häufigsten missbrauchte RAT bei Angriffen im Jahr 2025.

Anwaltskanzleien sind aufgrund ihrer Arbeit, die vertrauliche Mandantendaten, Unternehmensverhandlungen und sensible Rechtsdokumente umfasst, attraktive Ziele. Ein Verstoß hiergegen droht nicht nur finanzielle Verluste, sondern auch einen erheblichen Reputationsschaden.

Doch nicht erst seit Kurzem haben es Cyberkriminelle auf Anwaltskanzleien und deren wertvolle Informationen abgesehen. Im April 2022 beobachteten Forscher , wie Betrüger mithilfe von KI-generierten Bildern falsche Kanzleiidentitäten erstellten.

Ein Grund für die Wirksamkeit der SRG-Kampagnen liegt darin, dass sie legitime Systemverwaltungs- und Fernzugriffstools verwenden, die Antivirenprogramme seltener alarmieren. Ihre Angriffe hinterlassen kaum Spuren, was Untersuchungen und Schutzmaßnahmen nach dem Angriff erschwert.

Deshalb fordert das FBI alle, einschließlich Forscher und Opfer, dringend auf, alle von der SRG während der Angriffe verwendeten Lösegeldforderungen offenzulegen. Das FBI sucht nach Informationen über die Telefonnummer, die die Gruppe für die Anrufe verwendet hat, die angegebene Wallet-Adresse oder sogar Aufzeichnungen von Sprachnachrichten.

In der Warnung des FBI wurden Netzwerkadministratoren aufgefordert, auf ungewöhnliche Downloads von Tools wie Zoho Assist, AnyDesk , Splashtop, Syncro oder Atera zu achten und auf unerklärliche externe Dateiübertragungen mit WinSCP oder Rclone zu achten.

Weitere Warnsignale sind unerwartete E-Mails zur Verlängerung von Abonnements, seltsame Anrufe oder Voicemails mit angeblichem Datendiebstahl sowie unerwünschte Kontaktaufnahmen von Personen, die behaupten, zum IT-Team des Unternehmens zu gehören.

Die Silent Ransom Group (SRG), auch bekannt als Luna Moth oder Chatty Spider, hat es auf Anwaltskanzleien abgesehen. Zu ihren Taktiken gehören IT-Social-Engineering-Anrufe und Callback-Phishing-E-Mails, um auf Geräte zuzugreifen und Daten für Erpressungen zu stehlen. Erfahren Sie mehr über die IOCs und TTPs der SRG: https://t.co/ro96zjD1hA pic.twitter.com/pBAd89WaBJ

— FBI (@FBI) 23. Mai 2025

Das FBI empfiehlt, grundlegenden Cybersicherheitspraktiken besondere Aufmerksamkeit zu schenken. Dazu gehört die Schulung der Mitarbeiter im Erkennen von Phishing-Versuchen und Social-Engineering-Taktiken sowie die Festlegung klarer interner Richtlinien für die Kommunikation des IT-Teams mit den Mitarbeitern.

Darüber hinaus können die Verwendung sicherer Passwörter in Verbindung mit der Zwei-Faktor-Authentifizierung (2FA) im gesamten Unternehmen und die Durchführung regelmäßiger Datensicherungen dazu beitragen, den Schaden im Falle eines Verstoßes zu verringern.