In den letzten Jahren hat die Cyberkriminalität neue und immer ausgefeiltere Methoden entwickelt, um an sensible Informationen zu gelangen und Unternehmen zu erpressen. Besonders betroffen sind Anwaltskanzleien, die aufgrund der besonders schützenswerten Daten im juristischen Bereich ein attraktives Ziel für Hacker darstellen. Eine aktuelle Warnung des FBI rückt eine besonders heimtückische Kampagne namens Luna Moth in den Fokus, die genau diese Zielgruppe ins Visier genommen hat. Die Attacken dieser Gruppe zeichnen sich durch eine Kombination aus Telefonbetrug und gezieltem Phishing aus. Dabei versuchen die Angreifer, mithilfe von scheinbar harmlosen E-Mails und Anrufen Mitarbeiter dazu zu bringen, bei ihnen anzurufen oder ihnen Zugang zu internen IT-Systemen zu gewähren.
Die Methoden sind so ausgeklügelt, dass viele Fachkräfte zunächst nicht erkennen, dass sie Opfer eines Angriffs werden. Die Herausforderung für Unternehmen besteht daher darin, diese komplexen Angriffsmuster frühzeitig zu identifizieren und angemessene Gegenmaßnahmen einzuleiten. Hinter der Bezeichnung Luna Moth versteckt sich eine kriminelle Hackergruppe, die auch unter anderen Namen wie Chatty Spider, Silent Ransom Group, Storm-0252 oder UNC3753 bekannt ist. Seit mindestens 2022 ist die Gruppe aktiv und hat sich inzwischen auf sogenannte Callback-Phishing-Attacken spezialisiert. Dabei versenden die Täter gezielte E-Mails, die wie legitime Benachrichtigungen von Zahlungs- oder Abo-Diensten aussehen.
Die Opfer werden darin dazu aufgefordert, eine angegebene Telefonnummer anzurufen, um beispielsweise eine Premium-Mitgliedschaft zu kündigen oder eine vermeintliche Rechnung zu klären. Diese Telefonate dienen jedoch nur dem Zweck, Mitarbeiter zu manipulieren und sie zu belehren, eine Fernzugriffssoftware zu installieren, über die die Betrüger dann Zugriff auf das Firmennetzwerk erhalten. Die Vorgehensweise ist besonders perfide: Während des Telefonats wird den Opfern eingeredet, dass eine dringende Maßnahme erforderlich sei, etwa um einer unerwünschten Abbuchung zu entgehen. In der Folge erhalten sie per E-Mail einen Link oder eine Anleitung, eine legitime Fernwartungssoftware wie Zoho Assist, AnyDesk oder Splashtop herunterzuladen. Diese Programme werden oft in Unternehmen genutzt und daher von IT-Sicherheitslösungen nicht als verdächtig eingestuft.
Wenn das Opfer zustimmt und die Software installiert, können die Hacker das System übernehmen, sich höhere Zugriffsrechte verschaffen und sensible Daten abzweigen. Im Anschluss wird eine Lösegeldforderung gestellt, bei der die Kriminellen mit Veröffentlichung der erbeuteten Informationen drohen, falls kein Geld gezahlt wird. Die Tradition dieser Gruppe reicht bis zu vorherigen Angriffen zurück, bei denen ähnliche Taktiken wie im sogenannten BazarCall-Betrug angewendet wurden. Dort wurde zum Beispiel die Ransomware Conti eingesetzt, die großen Schaden anrichtete und Unternehmen in ernste Schwierigkeiten brachte. Nach dem Zusammenbruch der Conti-Syndikate hat sich Luna Moth als Nachfolger etabliert und ihre Methoden weiterentwickelt, um noch gezielter und effektiver vorzugehen.
Insbesondere erhöhte sich die Frequenz der Angriffe in den letzten Monaten, wobei die Täter nun vermehrt Mitarbeiter direkt per Telefon ansprechen und sich als Firmen-IT ausgeben. Dadurch wird die Glaubwürdigkeit der Kontaktaufnahme entscheidend gesteigert und das Risiko eines erfolgreichen Angriffs erhöht. Ein weiteres Merkmal der Luna Moth Kampagne ist die Nutzung von speziell registrierten Domains, die scheinbar legitime IT-Hilfeservice-Adressen imitieren. Diese werden über bekannte Domain-Registrar-Dienste angemeldet und tragen Namen, die angegriffene Firmen oder deren Helpdesk-Services nachahmen. Durch dieses perfekte Spoofing können die Betrüger ihre E-Mails und Webseiten als authentisch erscheinen lassen, was gerade bei der Zielgruppe von juristischen Fachkräften die Wahrscheinlichkeit einer Reaktion deutlich ansteigen lässt.
Untersuchungen zufolge hat die Gruppe allein im März 2025 über 30 solcher Domains neu registriert, um ihre Man-in-the-Middle-Angriffe auszuweiten. Die technischen Hilfsmittel bei den Angriffen sind ebenso bemerkenswert. Neben den bereits erwähnten Fernwartungstools setzen die Täter auch legitime Systemverwaltungstools wie WinSCP oder Rclone ein, um die exfiltrierten Daten unauffällig aus dem Netzwerk herauszuschleusen. Da diese Programme im IT-Alltag häufig genutzt werden, lösen sie keine Alarmmeldungen bei Sicherheitskomponenten aus. Dieser Umstand erschwert eine Erkennung und Eingrenzung der Angriffe erheblich.
Ferner haben die Hacker gelernt, den Zugriff auch dann zu realisieren, wenn das kompromittierte Gerät keine Administratorrechte besitzt. In solchen Fällen greifen sie auf portable Versionen der Tools zurück, mit denen Daten effektiv und unbemerkt abgegriffen werden können. Für Unternehmen aus dem juristischen und finanziellen Bereich, die mit besonders vertraulichen Informationen umgehen, bedeutet die Luna Moth Attacke eine deutlich gestiegene Gefahr. Sensible Mandantendaten, Vertragsdetails und strategische Dokumente können auf diesem Wege gestohlen und später als Druckmittel missbraucht werden. Darüber hinaus könnte der Ruf einer Kanzlei durch eine Datenpanne nachhaltig geschädigt werden, was im Wettbewerb um Mandanten fatale Folgen haben könnte.
Da Betroffene oft erst sehr spät von einem Angriff erfahren, ist es entscheidend, präventive Maßnahmen zu ergreifen und die Mitarbeiter umfassend für die Gefahren von Social Engineering zu sensibilisieren. Die Empfehlungen des FBI und anderer Sicherheitsinstitutionen konzentrieren sich auf eine verstärkte Wachsamkeit bei ungewöhnlichen E-Mails, die zum Telefonkontakt auffordern oder auf den Betrieb von Fernwartungssoftware abzielen. Auch empfohlene ist die Überwachung von Netzwerkanbindungen, die zu externen IP-Adressen führen, insbesondere wenn dabei bekannte Tools wie WinSCP verwendet werden. Technisch sollte der Einsatz von Multi-Faktor-Authentifizierung, strenge Zugriffsrechte und regelmäßige Schulungen der Mitarbeiter zu den Grundpfeilern der Verteidigung gehören. Zudem sind regelmäßige Backups und Sicherheitsüberprüfungen essentiell, um im Falle eines erfolgreichen Einbruchs schnell reagieren zu können.
Neben organisatorischen Maßnahmen ist auch die Sensibilisierung für die typische Masche von Luna Moth entscheidend. Die Täter nutzen den Zeitdruck und angebliche Dringlichkeit aus, um Opfer zu schnellen Entscheidungen zu drängen. Hier gilt es, klar zu kommunizieren, dass keine dringenden telefonischen Bestätigungen erfolgt und interne IT-Abteilungen solche Anfragen niemals per Telefon, sondern über etablierte Kanäle klären. Somit können potenzielle Opfer vorsichtig werden und Kontaktaufnahmen durch Kriminelle frühzeitig erkennen. Die steigende Professionalität und die raffinierte Ausgestaltung der Luna Moth Kampagnen spiegeln eine gefährliche Entwicklung in der Cybercrime-Welt wider.
Es werden nicht mehr nur technische Schwachstellen ausgenutzt, sondern gezielt menschliche Verhaltensmuster manipuliert, um Schutzmechanismen zu umgehen. Kanzleien und ähnliche Institutionen sind deshalb in der Pflicht, diese Bedrohung ernst zu nehmen und ihre Sicherheitskultur entsprechend anzupassen. Nur durch eine Kombination aus technischer Absicherung, Awareness-Trainings und klaren Kommunikationswegen kann der Schaden durch solche Angriffe minimiert oder sogar verhindert werden. Zusammenfassend zeigt die Luna Moth Kampagne exemplarisch, wie Cyberkriminelle moderne Kommunikationsmittel und den menschlichen Faktor geschickt für ihre Zwecke einsetzen. Ein proaktives Sicherheitsmanagement und eine gut informierte Belegschaft sind die wirksamsten Mittel, um sich gegen diese Form von Phishing und Erpressungsversuchen zu schützen.
Angesichts der stetig steigenden Anzahl und der immer professioneller werdenden Attacken wird es für Unternehmen in den kommenden Jahren unerlässlich sein, ihre Abwehrstrategien kontinuierlich weiterzuentwickeln. Die Warnung des FBI sollte von allen Verantwortlichen in Kanzleien und deren IT-Sicherheitsabteilungen als Weckruf verstanden werden, um präventive Maßnahmen zu intensivieren und somit langfristig den Schutz sensibler Daten sicherzustellen.
