Cyberkriminelle UNC3753: Datenraub in unter einer Stunde

Eine Gruppe von Cyberkriminellen hat es auf US-Kanzleien und Finanzdienstleister abgesehen – mit einer Kombination aus Telefon-Tricks und Fernwartungssoftware.

Von der Rechnungs-Mail zum Datenklau in Rekordzeit

Die als UNC3753 bekannte Gruppierung – auch unter den Namen Luna Moth, Chatty Spider oder Silent Ransom Group aktiv – setzt seit März 2022 auf eine besonders hinterhältige Strategie. Der Angriff beginnt meist harmlos: mit einer gefälschten Rechnungs-E-Mail.

Anzeige: Die Täter von UNC3753 kapern Systeme in Minuten – per Telefon-Trick und Fernwartungssoftware. In weniger als einer Stunde sind sensible Mandantendaten gestohlen. Dieser Leitfaden zeigt, wie Sie solche Angriffe erkennen und abwehren. Jetzt kostenlosen Schutz-Leitfaden anfordern

Doch dann folgt der entscheidende Schritt: Die Täter rufen ihre Opfer an und geben sich als Mitarbeiter des IT-Supports aus. Unter diesem Vorwand überreden sie die Angestellten, eine Bildschirmfreigabe über Zoom, Microsoft Teams oder Windows Quick Assist zu starten.

Einmal im System, installieren die Kriminellen legitime Fernwartungstools wie AnyDesk, Bomgar, Zoho Assist oder SuperOps. Um Sicherheitsfilter zu umgehen, nutzen sie den Dienst Privnote zur Übergabe der Installationsdateien. Besonders perfide: Gelingt der Zugriff über ein privates Gerät, schalten die Angreifer von dort auf die virtuelle Desktop-Infrastruktur des Unternehmens – etwa Windows 365 oder Citrix – und gelangen so an vertrauliche Dokumentenplattformen wie iManage.

Physische Eindringlinge und blitzschnelle Datenflucht

Die Masche hat eine besonders dreiste Variante: Das FBI bestätigt Fälle, in denen sich Täter als IT-Techniker ausgaben und persönlich in Büros eindrangen. Mit USB-Sticks kompromittierten sie dort Systeme und stahlen Daten direkt vor Ort.

Die Geschwindigkeit der Operationen ist bemerkenswert. Vom ersten Kontakt bis zur Erpressungsforderung vergeht oft nur ein einziger Tag. In weniger als einer Stunde beginnen die Angreifer mit dem Datendiebstahl. In einem dokumentierten Fall entwendete die Gruppe 1,7 Gigabyte Daten über Google Drive – und weitere 14,4 Gigabyte über WinSCP. Auch Rclone, Browser-Uploads und E-Mail kommen zum Einsatz.

Hochsensible Daten unter Druck

Die Erpresser zielen gezielt auf W-2- und W-9-Formulare, 1099-Steuerdokumente, Sozialversicherungsnummern und vertrauliche Mandatsvereinbarungen ab. Die meisten Aktivitäten fanden zwischen Januar und Mai 2026 statt, wobei die Gruppe bereits seit Frühjahr 2023 verstärkt den Rechtssektor ins Visier nimmt.

Anzeige: Nach dem Einbruch bleiben nur drei Tage, um auf Erpressungsforderungen zu reagieren – oder die Daten werden veröffentlicht. Wer bereits unautorisierte Fernwartungstools im Netzwerk entdeckt, braucht einen klaren Notfallplan. Dieser Report liefert die entscheidenden Schritte zur Schadensbegrenzung. Sofortmaßnahmen-Report jetzt sichern

Nachdem die Angreifer das System verlassen haben, folgt innerhalb von 30 Minuten die Erpressungsmail. Die Frist ist knapp bemessen: Drei Tage bleiben den Opfern, um die geforderten Summen zu zahlen – andernfalls droht die Veröffentlichung der gestohlenen Daten. Eine spezielle Leak-Seite im Darknet erhöht den Druck zusätzlich.

Schutzmaßnahmen für Unternehmen

Sicherheitsexperten haben mehrere Phishing-Domains identifiziert, die mit der Kampagne in Verbindung stehen – darunter Varianten, die auf -itdesk[.]com, -it[.]com und -helpdesk[.]com enden. Unternehmen sollten daher unautorisierte Installationen von Fernwartungstools überwachen und die Identität jedes IT-Support-Mitarbeiters überprüfen – egal, ob dieser sich telefonisch oder persönlich Zugang verschaffen will.

de | wissenschaft | 69494299 |