Silent Ransom Group: Kriminelle schicken falsche IT‑Techniker – Neue Bedrohung für Unternehmen

LGR Reutlingen – 06 Juni 2026 | Die Silent Ransom Group Kriminelle schicken falsche IT-Techniker und setzen damit ein bislang selten gesehenes Mischmodell aus digitaler Erpressung und klassischem Einbruch. Während herkömmliche Ransomware‑Gruppen ausschließlich über das Netzwerk agieren, lässt die SRG heute echte Menschen vor die Tür von Unternehmen treten, sich als Support‑Mitarbeiter ausgeben und per USB‑Stick sensible Dokumente entwenden. Die jüngste gemeinsame Warnung von FBI und Googles Threat‑Intelligence‑Team Mandiant macht deutlich, dass diese Entwicklung nicht mehr ein Einzelfall, sondern ein strukturiertes Vorgehen ist, das bereits Dutzende von Organisationen in den USA – vor allem Anwaltskanzleien der AmLaw 100 – zwischen Januar und Mai 2026 getroffen hat.

Silent Ransom Group Kriminelle schicken falsche IT-Techniker – So funktioniert der Angriff

Der Angriff beginnt typischerweise mit einem Vishing‑Anruf. Die Täter geben sich als Help‑Desk‑Mitarbeiter aus, nennen dabei meist ein gängiges Remote‑Tool wie Zoho Assist, AnyDesk oder TeamViewer. Sie fordern den Gesprächspartner auf, einen vermeintlichen Patch zu installieren oder eine Systemdiagnose zu starten. In vielen Fällen gelingt der Fernzugriff, doch wenn das Zielgerät stark abgesichert ist, wechseln die Kriminellen schnell zur nächsten Phase: Sie schicken ein Team von „IT‑Technikern“ zum Firmensitz. Diese Personen tragen offizielle Ausweise, oft gefälscht, und präsentieren sich als von einem bekannten Dienstleister beauftragte Techniker.

Einmal im Gebäude, nutzen sie soziale Schwächen aus. Sie fragen nach einer kurzen Begleitung zum Serverraum, erklären, dass ein kritisches Update nur vor Ort durchgeführt werden könne, und überzeugen die anwesenden Mitarbeiter, die Tür zu öffnen. Sobald sie physischen Zugang haben, schließen sie das Zielsystem an einen Laptop an, kopieren Daten auf einen verschlüsselten USB‑Stick oder starten eine schnelle Übertragung via legitimen Tools wie WinSCP oder Rclone in einen Cloud‑Speicher. Der gesamte Vorgang – von der ersten Telefonzelle bis zum Verlassen des Gebäudes – wird häufig innerhalb eines Arbeitstages abgeschlossen.

Im Unterschied zu klassischen Ransomware‑Varianten verschlüsselt die Silent Ransom Group die entwendeten Dateien nicht. Stattdessen setzen sie auf schnellen Datenabfluss und den anschließenden Erpressungsdruck. Innerhalb von 30 Minuten nach dem physischen Einbruch erhalten die Opfer eine E‑Mail, die mit der Drohung endet, die gestohlenen Unterlagen – häufig vertrauliche Vertragsentwürfe, Mandanten‑Korrespondenz oder Finanzberichte – auf der eigenen Leak‑Seite business‑data‑leaks.com zu veröffentlichen, sofern kein Lösegeld bezahlt wird.

Die Gruppe nutzt dabei eine hochgradig dynamische Fast‑Flux‑DNS‑Infrastruktur. Ein Botnetz aus kompromittierten IoT‑Geräten, Heimroutern und Servern in Lateinamerika, Osteuropa, Zentralasien und dem Nahen Osten wechselt die IP‑Adressen der Command‑and‑Control‑Server in Sekundentakten. Dadurch erschwert sie die Rückverfolgung erheblich, während gleichzeitig die Verfügbarkeit von Upload‑Endpoints für die gestohlenen Daten gesichert bleibt.

Ein weiterer Unterschied zu reinen Ransomware‑Operationen ist das Fehlen einer eigens entwickelten Verschlüsselungssoftware. Stattdessen werden Standard‑Tools eingesetzt, die in vielen Unternehmen ohnehin im Einsatz sind. Diese Taktik macht die Angriffe schwerer zu erkennen, weil die genutzten Protokolle und Prozesse auf den ersten Blick legitim erscheinen.

Die Zielgruppe der SRG ist klar definiert: Neben den prominenten US‑Anwaltskanzleien zählen Banken, Finanzdienstleister, Krankenhäuser und Versicherungen zu den Hauptopfern. Die meisten dieser Organisationen verwalten enorme Mengen an personenbezogenen und geschäftskritischen Daten, die bei einem Leak massive Reputations- und Rechtsfolgen nach sich ziehen würden. Der wirtschaftliche Schaden lässt sich daher kaum beziffern, doch erste Schätzungen von Sicherheitsfirmen gehen von Verlusten in Millionenhöhe aus, wenn Unternehmen neben dem Lösegeld auch Kosten für Forensik, Rechtsstreitigkeiten und Wiederherstellung der Vertrauensbasis einplanen müssen.

Die Ermittler von Mandiant haben zudem Verbindungen zu einem neuen Projekt mit dem Arbeitstitel „Spy Corporate“ gefunden, das im Mai 2026 erstmals öffentlich erwähnt wurde. Dort scheint die SRG ihr Portfolio zu erweitern, indem sie gezielt Insider‑Informationen aus internen Kommunikationsplattformen sammeln, um später gezielte Erpressungen zu betreiben. Dieses Vorgehen verdeutlicht, dass die Gruppe nicht nur Daten exfiltriert, sondern auch versucht, langfristige Einflussmöglichkeiten aufzubauen.

Die Gefahr, die von physischen Social‑Engineering‑Angriffen ausgeht, liegt darin, dass traditionelle Cyber‑Defenses – Firewalls, Intrusion‑Detection‑Systeme und Endpoint‑Protection – allein nicht ausreichen. Unternehmen müssen jetzt ihre Prozesse zur Identitätsprüfung von externen IT‑Dienstleistern überarbeiten. Das bedeutet, dass jede Person, die physischen Zugang zu Serverräumen, Netzwerkschaltern oder sensiblen Arbeitsplätzen verlangt, durch mehrere Authentifizierungsstufen verifiziert werden muss – etwa durch Rückruf bei der angeblichen Firma, Durchsicht von Dienstleistungsaufträgen und das Einfordern von Original‑Ausweisen, die mit einer internen Datenbank abgeglichen werden.

Einige Unternehmen haben bereits reagiert. Die Anwaltskanzlei Baker McKenzie hat ein neues Protokoll eingeführt, bei dem Besucher nur nach vorheriger Genehmigung durch die IT‑Security‑Abteilung Zutritt erhalten. Der IT‑Leiter von JPMorgan, Michael Klein, betont in einem Interview, dass das Unternehmen künftig verstärkt auf physische Zugangskontrollen und Video‑Monitoring setzt, um die Wahrscheinlichkeit von Täuschungsmanövern zu reduzieren.

Gleichzeitig arbeiten die Behörden an einem koordinierten Vorgehen. Das FBI hat ein spezielles Task‑Force‑Team eingerichtet, das neben forensischen Analysen auch Schulungen für Unternehmen anbietet, wie man gefälschte Techniker erkennt. Google‑Mandiant stellt ein kostenloses Whitepaper bereit, das eine Checkliste zur Identitätsprüfung von IT‑Personal sowie Sofortmaßnahmen bei Verdacht auf Vishing oder physische Social‑Engineering‑Versuche enthält.

Für die betroffenen Unternehmen stellt sich die Frage, ob sie dem Lösegeld nachgeben sollten. Experten raten davon ab, weil die Zahlung keine Garantie für das Nicht‑Veröffentlichen der Daten bietet und gleichzeitig die Kriminellen ermutigt, ihre Taktiken weiter zu verfeinern. Stattdessen sollten Unternehmen sofort einen Incident‑Response‑Plan aktivieren, forensische Experten einschalten und die betroffenen Kunden und Aufsichtsbehörden informieren.

Langfristig ist die wichtigste Lehre aus den Aktionen der Silent Ransom Group, dass digitale und physische Sicherheit immer mehr miteinander verschmelzen. Unternehmen, die bislang nur in Cyber‑Abwehr investiert haben, müssen nun ihr Sicherheitsbudget um physische Zutrittskontrollen, Mitarbeiterschulungen und robuste Verifizierungsprozesse erweitern. Nur so lässt sich verhindern, dass Kriminelle erneut die Schwelle zu Unternehmensgebäuden überschreiten und dort mit echten Händen Daten entwenden.

Der Trend zu hybriden Angriffen dürfte weiter zunehmen. Analysten sehen bereits Anzeichen dafür, dass andere Ransomware‑Gruppen ihre Vorgehensweise anpassen, um physische Komponenten zu integrieren. Für Unternehmen bedeutet das, dass ein ganzheitlicher Ansatz – von der Netzwerk‑ bis zur Gebäudesicherheit – unumgänglich wird, um die wachsende Bedrohungslage zu bewältigen.