GentleKiller: Neue Ransomware-Gruppe zerlegt EDR-Systeme weltweit
20.06.2026 - 00:13:23 | boerse-global.de
Eine der aktivsten Cyberkriminellen-Gruppen des Jahres 2026 setzt auf eine spezielle Waffe: GentleKiller nennt sich ein Werkzeug, das gezielt Sicherheitslücken in Unternehmensnetzen schafft.
Forscher von ESET haben die Taktik der Gruppe namens „The Gentlemen" analysiert. Seit Jahresbeginn gilt sie als eine der gefährlichsten Organisationen im Geschäft mit Erpressungssoftware. Das Besondere: Die Bande stellt ihren Partnern ein ausgeklügeltes Framework zur Verfügung, das Endpoint Detection and Response (EDR)-Systeme systematisch außer Gefecht setzt – noch bevor die eigentliche Ransomware zum Einsatz kommt.
GentleKiller: Acht Varianten im Umlauf
Anzeige: Wer seine EDR-Systeme vor dem GentleKiller-Framework schützen will, findet in diesem Report die wichtigsten Abwehrmaßnahmen – von Treiberrichtlinien bis zu Frühwarnindikatoren. Jetzt kostenlosen Schutz-Report anfordern
Das Herzstück der Angriffswelle ist ein Framework namens GentleKiller. Es tarnt sich als legitime Software von Anbietern wie Kaspersky, Valorant oder Javelin. Mindestens acht verschiedene Varianten sind derzeit bekannt. Die Technik dahinter heißt „Bring Your Own Vulnerable Driver" (BYOVD): Die Angreifer nutzen bekannte Sicherheitslücken in eigentlich vertrauenswürdigen Treibern, um sich Kernel-Zugriff auf das Betriebssystem zu verschaffen.
Ist diese Hürde erst genommen, identifiziert und beendet das Tool über 400 sicherheitsrelevante Prozesse und Dienste. Laut ESET zielen die Angriffe auf Produkte von 48 verschiedenen Sicherheitsanbietern – darunter Branchengrößen wie Microsoft, CrowdStrike, SentinelOne und Palo Alto Networks.
Die Gentlemen statten ihre Partner zudem mit weiteren EDR-Killern aus: HexKiller, ThrottleBlood und HavocKiller heißen die Werkzeuge. Ein auf Rust basierender Credential-Stealer namens OxideHarvest sammelt sensible Zugangsdaten in der frühen Phase eines Einbruchs.
RaaS-Modell mit aggressiver Preisstrategie
Das Geschäftsmodell der Gruppe folgt dem Ransomware-as-a-Service-Prinzip (RaaS). Branchenberichten zufolge verlangen die Gentlemen nur zehn Prozent Provision auf erpresste Lösegeldzahlungen – ein Bruchteil dessen, was konkurrierende Banden üblicherweise einstreichen. Diese aggressive Preisgestaltung, kombiniert mit standardisierten Umgehungswerkzeugen, hat der Gruppe rasanten Zulauf beschert.
Die Aktivitäten der Bande sind in über 70 Ländern dokumentiert. Seit ihrem ersten Auftauchen Ende 2025 wurden mindestens 478 Opfer identifiziert. Ein besonderer Schwerpunkt liegt auf Südostasien, Südamerika und Westeuropa. Erst kürzlich bestätigte sich der rumänische Energieversorger Oltenia als Opfer.
Die Angreifer wählen ihre Ziele offenbar gezielt nach Netzwerkkonfigurationen aus. Im Fokus stehen Organisationen mit Fortinet-FortiGate-Infrastruktur. Über kompromittierte Zugangsdaten – in Fachkreisen auch als „FortiBleed"-Expositionen bekannt – verschaffen sich die Täter ersten Zugang zu Unternehmensnetzen.
Spur führt nach Russland
Ein Datenleck im Mai 2026 gewährte tiefe Einblicke in die internen Abläufe der Gruppe. Sicherheitsforscher gehen davon aus, dass die Organisation von einem ehemaligen Partner der Qilin-Ransomware-Bande gegründet wurde. Als mutmaßlicher Anführer gilt ein 36-jähriger Russe aus Ischewsk.
Anzeige: Die Gentlemen-Gruppe nutzt BYOVD-Techniken, um über 400 Sicherheitsprozesse zu beenden – darunter Produkte von 48 Anbietern. Ohne KMCI und HVCI sind Ihre Systeme ungeschützt. Dieser Leitfaden zeigt, wie Sie die Treiberlücken schließen. BYOVD-Abwehrleitfaden jetzt sichern
Technische Beweise verbinden die Infrastruktur der Gentlemen zudem mit einem SystemBC-Botnetz, das aus mehr als 1.570 Hosts besteht.
Schutz vor der neuen Bedrohung
Um sich gegen die EDR-Killer-Techniken zu wappnen, empfehlen Sicherheitsexperten Unternehmen, strenge Treiberrichtlinien durchzusetzen. Konkret helfen Kernel Mode Code Signing (KMCI) und Hypervisor-Protected Code Integrity (HVCI). Auch verbesserte Protokollierung und die Überwachung ungewöhnlicher Prozessbeendigungen können helfen, das GentleKiller-Framework zu entdecken – bevor die finale Ransomware zugeschlagen hat.
