The Gentlemen: Neue Ransomware wird zur zweitaktivsten Gruppe

Das Ransomware-as-a-Service-Programm hat sich innerhalb weniger Monate zur zweitaktivsten Gruppe weltweit entwickelt.

Angesichts der rasanten Ausbreitung neuer Ransomware-Stämme ist ein proaktiver Schutz der IT-Infrastruktur für Unternehmen überlebenswichtig. Wie Sie Sicherheitslücken effektiv schließen und Ihr Unternehmen vor modernen Cyberangriffen schützen, erfahren Sie in diesem kostenlosen E-Book. Gratis-Ratgeber: Cyber-Sicherheit stärken

Zweitaktivste Gruppe im April

Die Analyse von Microsoft Threat Intelligence vom 28. Mai zeichnet ein alarmierendes Bild. Allein im April 2026 verzeichnete die Gruppierung 73 Opfer – das entspricht zehn Prozent aller weltweit gemeldeten Ransomware-Angriffe in diesem Monat. Nur die Qilin-Gruppe war mit 14 Prozent Marktanteil noch aktiver.

Seit ihrem ersten Auftreten hat "The Gentlemen" insgesamt 231 Opfer registriert. Die Angriffe erstrecken sich über Nord- und Südamerika, Europa, Afrika und Asien. Bemerkenswert: Obwohl die Gesamtzahl der Ransomware-Attacken im April um sieben Prozent zurückging, trieb "The Gentlemen" mit 748 Vorfällen die Statistik weiter an.

Hochmoderne Technik macht die Software gefährlich

Was die neue Malware besonders gefährlich macht, ist ihre aggressive Verbreitungsstrategie. Geschrieben in der Programmiersprache Go, nutzt der Erpresser-Trojaner bis zu 21 verschiedene Methoden der Fernausführung gleichzeitig, um sich in Unternehmensnetzwerken auszubreiten.

Die Verschlüsselung basiert auf den Algorithmen Curve25519 und XChaCha20 – eine Kombination, die als extrem sicher gilt. Die Software zielt auf mehrere Plattformen ab:

• Windows und Linux-Systeme
• NAS-Speicherlösungen (Network Attached Storage)
• BSD-Systeme
• VMware ESXi-Umgebungen

Die Malware löscht zudem Systemsicherungskopien und Ereignisprotokolle, um forensische Untersuchungen zu erschweren. Sie manipuliert Gruppenrichtlinien, um die Verteilung zu erleichtern, und löscht sich nach erfolgreicher Verschlüsselung selbst.

Da Hacker oft psychologische Schwachstellen der Mitarbeiter ausnutzen, um Schadsoftware wie "The Gentlemen" einzuschleusen, ist eine gezielte Prävention unerlässlich. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Phishing-Angriffe und Cyberkriminalität wirksam stoppen. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Doppelte Erpressung als Geschäftsmodell

Die Betreiber von "The Gentlemen" setzen auf ein bewährtes Modell: Sie verschlüsseln nicht nur Daten, sondern drohen auch mit der Veröffentlichung gestohlener Informationen – die sogenannte Double-Extortion. Seit September 2025 arbeiten sie dazu mit der Plattform BreachForums zusammen.

Die Helfer der Gruppe nutzen häufig die Schadsoftware SystemBC, um versteckte Tunnel und SOCKS5-Proxys einzurichten. Das ermöglicht schnelle Bewegungen im Netzwerk und dauerhaften Zugriff auf kompromittierte Systeme.

Der Erfolg dieser Taktik zeigt sich in den Zahlen: Der Anteil der Firmen, die Lösegeld zahlen, stieg von 14,4 Prozent im Jahr 2024 auf 24,3 Prozent im Jahr 2025. Grund sind effektivere Erpressungsmethoden und der Einsatz von Künstlicher Intelligenz zur Analyse gestohlener Daten.

Ermittler schlagen zurück

Erst am 19. Mai wurden Details zur Zerschlagung des "Fox Tempest" -Netzwerks bekannt. Diese Infrastruktur hatte anderen Ransomware-Gruppen wie Qilin und Akira Signaturdienste für ihre Malware bereitgestellt. Die Aktion zeigt, dass die Strafverfolgungsbehörden die Lieferkette der Erpresserbanden systematisch angreifen – ein Ansatz, der auch "The Gentlemen" treffen könnte.

de | wissenschaft | 69437924 |