Social Engineering wird physisch: Wenn Angreifer nicht mehr nur klicken lassen
Silent Ransom Group und ShinyHunters zeigen, warum Identität, Helpdesk-Prozesse und physische Sicherheit zusammen gedacht werden müssen.
Kurzfassung für Entscheider
Cyberangriffe beginnen immer häufiger nicht mit Malware, sondern mit Vertrauen. Zwei aktuelle Fälle zeigen das besonders deutlich: Die Silent Ransom Group gibt sich als IT-Support aus und soll bei gescheitertem Remote-Zugriff sogar Personen zum Standort des Opfers schicken. ShinyHunters wiederum behauptet, über Vishing ein Microsoft-Entra-Konto kompromittiert und anschließend Daten aus Salesforce exportiert zu haben.
Die zentrale Lehre: Identität ist heute ein Hauptangriffsziel. Wer Zugang zu einem SSO-Konto, einem Helpdesk-Prozess oder einem SaaS-System erhält, braucht oft keine klassische Ransomware mehr. Datenabfluss und Erpressung reichen aus, um erheblichen Schaden zu verursachen.
Warum das Management betroffen ist
Diese Angriffe umgehen viele technische Schutzmechanismen, weil sie legitime Prozesse missbrauchen. Ein Mitarbeiter glaubt, mit dem IT-Support zu sprechen. Ein Helpdesk glaubt, eine echte Anfrage zu bearbeiten. Ein Standortmitarbeiter lässt eine vermeintlich berechtigte Person an einen Arbeitsplatz. Danach können Daten gestohlen, Kunden kontaktiert oder das Unternehmen öffentlich unter Druck gesetzt werden.
Das ist nicht nur ein IT-Problem. Es betrifft Personalprozesse, Empfang, Rechtsabteilung, Datenschutz, Kommunikation und Krisenmanagement. Unternehmen brauchen klare Regeln, wie Identität geprüft wird, wer Fernzugriff freigeben darf und wie ungewöhnliche Support-Anfragen eskaliert werden.
Konkrete Schutzmaßnahmen
- Helpdesk-Anfragen über verifizierte Rückrufprozesse absichern.
- Mitarbeiter trainieren, keine Remote-Sessions auf Zuruf zu starten.
- Empfang und Standortpersonal in Cyber-Szenarien einbeziehen.
- USB-Nutzung technisch beschränken und protokollieren.
- Conditional Access für Microsoft Entra, Okta und Google SSO schärfen.
- SaaS-Zugriffe auf Salesforce, Microsoft 365, Google Workspace, Slack und Zendesk überwachen.
- OAuth-Apps und Integrationen regelmäßig prüfen.
Technischer Abschnitt
Die Silent Ransom Group, auch Luna Moth oder UNC3753 genannt, nutzt laut FBI Callback-Phishing und Helpdesk-Imitation. Der Ablauf ist operativ effektiv: Opfer werden telefonisch oder per E-Mail dazu gebracht, eine angebliche IT-Supportnummer zu kontaktieren oder eine Remote-Desktop-Sitzung freizugeben. Gelingt das nicht, sollen Angreifer in bestimmten Fällen physisch am Standort erscheinen, um über externe Speichermedien Daten abzugreifen.
Bei solchen Angriffen sind klassische IOC-Listen allein unzureichend. Wichtig sind Verhaltensindikatoren: ungewöhnliche Remote-Access-Tools, plötzliche Datenzugriffe, neue USB-Mounts, externe Laufwerke, verdächtige Helpdesk-Tickets, Support-Anrufe außerhalb normaler Prozesse und Logins von ungewohnten Geräten oder Standorten.
Der Charter-Fall zeigt ein verwandtes Muster im SaaS-Bereich. ShinyHunters behauptet, ein Microsoft-Entra-Konto über Vishing kompromittiert und anschließend Daten aus Salesforce exportiert zu haben. Solche Angriffe nutzen häufig SSO-Kompromittierung, OAuth-Tokens, SaaS-Integrationen oder fehlende Zugriffsbeschränkungen. Technisch sollten Unternehmen deshalb Risk-Based Conditional Access, Phishing-resistente MFA, Session-Revocation, SaaS-Audit-Logs und Export-Anomalieerkennung priorisieren.
Quellen
- BleepingComputer zur Silent Ransom Group: https://www.bleepingcomputer.com/news/security/fbi-warns-of-silent-ransom-group-in-person-data-theft-attacks/
- BleepingComputer zum Charter/ShinyHunters-Vorfall: https://www.bleepingcomputer.com/news/security/charter-confirms-data-breach-after-shinyhunters-extortion-threat/



