Ransomware-Bande, Gentlemen

Ransomware-Bande Gentlemen: GentleKiller deaktiviert 400 Prozesse

Veröffentlicht: 21.06.2026 um 15:02 Uhr, Redaktion boerse-global.de

Die Ransomware-Gruppe Gentlemen setzt mit GentleKiller auf spezialisierte Werkzeuge, um EDR-Systeme auszuschalten und über 500 Opfer zu erpressen.

Ransomware-Bande Gentlemen: Neuer EDR-Killer bedroht Sicherheitslösungen
Ransomware-Bande - Abstract digital security concept with glowing network being bypassed by shadowy digital tendrils, symbolizing sophisticated malware. 21.06.2026 - Bild: über boerse-global.de

Erpresserbanden setzen zunehmend auf spezialisierte Werkzeuge, um Sicherheitssoftware auszuschalten – ein alarmierender Trend.

Die Bedrohungslage im Netz hat sich grundlegend verändert. Sicherheitsforscher warnen vor einer neuen Generation von Ransomware-Gruppen, die ihre Angriffe professionalisieren. Im Zentrum steht die Bande "Gentlemen", die mit einem zentralisierten Werkzeugkasten namens "GentleKiller" arbeitet. Das Ziel: Endpoint Detection and Response (EDR) -Systeme gezielt außer Gefecht zu setzen.

Der Aufstieg der EDR-Killer

Anzeige: Wer seine EDR-Systeme gegen die neue Generation von Ransomware-Killern schützen will, findet in diesem Report die wichtigsten Härtungsmaßnahmen – von BYOVD-Prävention bis KI-gestützter HEAT-Erkennung. Jetzt kostenlosen Report anfordern

Das Ransomware-as-a-Service (RaaS)-Netzwerk, das Ende 2025 gegründet wurde, rüstet seine Partner mit einem speziellen Toolkit aus. "GentleKiller" umfasst acht verschiedene Varianten, die über 400 Prozesse von 48 verschiedenen Sicherheitsprodukten beenden können – darunter Lösungen von CrowdStrike, SentinelOne und Microsoft.

Die Methode dahinter ist raffiniert: Die Gruppe nutzt das sogenannte "Bring Your Own Vulnerable Driver" (BYOVD)-Verfahren. Dabei werden legitime, digital signierte Treiber missbraucht – etwa von Kaspersky oder aus Gaming-Anti-Cheat-Systemen wie FACEIT und Valorant. Über diese Treiber verschaffen sich die Angreifer Kernel-Zugriff und schalten die Schutzmechanismen aus. Besonders alarmierend: Die Gruppe integriert neue Sicherheitslücken oft innerhalb weniger Tage nach ihrer Veröffentlichung.

Seit ihrer Gründung hat die "Gentlemen"-Gruppe über 500 Opfer gemacht – einer der aktivsten Ransomware-Akteure im ersten Quartal 2026. Als mutmaßlicher Gründer gilt der 36-jährige Russe Alexander Andreevich Yapaev, der unter dem Alias "hastalamuerte" operiert. Das Modell ist verlockend: 90 Prozent der erpressten Lösegelder gehen an die Partner.

Neue Tarnung und Ausdauer

Doch die Angreifer werden nicht nur brutaler, sondern auch heimlicher. Microsoft Threat Intelligence warnt vor einem USB-Wurm namens "Trojan:Win32/CryptoBandits.A". Seit Februar 2026 verbreitet er sich über infizierte USB-Sticks mittels manipulierter .lnk-Dateien.

Einmal im System, überwacht der Schädling alle 500 Millisekunden die Windows-Zwischenablage. Erkennt er eine Kryptowährungs-Wallet-Adresse, ersetzt er diese durch die der Angreifer. Zur Tarnung nutzt der Wurm einen portablen Tor-Client für die Kommunikation mit dem Steuerungsserver. Erkennt das Programm sensible Daten wie Seed-Phrasen, macht es Screenshots.

Diese Entwicklung hin zu hochgradig anpassungsfähigen Bedrohungen bestätigt auch Menlo Security. Die Forscher verzeichnen einen Anstieg von 224 Prozent bei sogenannten "Highly Evasive Adaptive Threats" (HEAT) seit Juli 2021. Rund 69 Prozent der analysierten schädlichen Domains nutzen inzwischen HEAT-Taktiken wie HTML-Smuggling oder "Good2Bad"-Webseiten-Übergänge.

KI als letzte Verteidigungslinie

Anzeige: 86% der CISOs fühlen sich gegen KI-Angriffe unzureichend gewappnet – dabei steigt die Zahl der HEAT-Bedrohungen rasant. Dieser Leitfaden liefert einen konkreten Notfallplan für Ransomware-Befall und zeigt, wie Sie mit KI-Abwehr die Lücke schließen. Notfallplan jetzt sichern

Die Sicherheitsbranche schlägt zurück – mit künstlicher Intelligenz. Googles KI-Tool "Antigravity" entdeckte kürzlich einen Datendiebstahl-Schädling, der monatelang unerkannt auf einem System lauerte. Die KI fand die versteckten Dateien und entfernte die Registry-Persistenzschlüssel, die herkömmliche Virenscanner übersehen hatten.

Die Dimension dieser automatisierten Abwehr zeigt ein Blick auf die Zahlen von 2025: Symantec blockierte insgesamt 3,2 Milliarden Cyberangriffe. Davon entfielen 2,4 Milliarden auf cloudbasierte Abwehrmechanismen, während maschinelles Lernen 956 Millionen Bedrohungen stoppte.

Der "CISO Outlook 2026"-Report von CSC zeichnet ein zwiespältiges Bild: 73 Prozent der Sicherheitsverantwortlichen sehen in KI eine große Chance für die Verteidigung. Gleichzeitig sind 86 Prozent besorgt über KI-gestützte Angriffe – insbesondere über Algorithmen zur Domain-Generierung. Nur 14 Prozent fühlen sich gut gewappnet gegen solche hochentwickelten Angriffe.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69596882 |