Ransomware, The

Ransomware The Gentlemen: 483 Opfer in 66 Ländern bis Juni

01.07.2026 - 16:46:20 | boerse-global.de

Die Erpressergruppe The Gentlemen nutzt Zero-Day-Lücken und eigene Schadsoftware. 483 Opfer in 66 Ländern wurden bereits registriert.

Ransomware-Bande The Gentlemen: Neue Angriffswelle mit Eigenentwicklungen
Ransomware - Verschwommene Gestalt in Anzug und Fedora vor grünem Binärcode und digitalen Schlosssymbolen, die Ransomware symbolisiert. 01.07.2026 - Bild: über boerse-global.de

Die Erpresserbande „The Gentlemen“ hat ihre Angriffsmethoden massiv verschärft und setzt nun auf Eigenentwicklungen und Zero-Day-Lücken. Sicherheitsforscher schlagen Alarm.

Cybersicherheitsexperten von Kaspersky und Expel haben eine deutliche Zunahme der Aktivitäten der Ransomware-as-a-Service-Gruppe (RaaS) „The Gentlemen“ registriert. Die Bande, die erst Mitte 2025 auftauchte, hat ihr Arsenal mit eigener Schadsoftware aufgerüstet und nutzt ausgeklügelte Techniken, um Unternehmensnetzwerke zu infiltrieren.

Neue Werkzeuge und clevere Taktiken

Die Gruppe setzt inzwischen auf ein selbst entwickeltes Toolkit. Kernstück ist eine Go-basierte Hintertür, die in der Regel einen Tag vor der eigentlichen Ransomware-Attacke platziert wird. Diese sammelt Systeminformationen wie Hostnamen, Windows-Domains und IP-Adressen. Sie ermöglicht zudem eine bidirektionale Kommunikation und dient als Sprungbrett für die seitliche Ausbreitung im Netzwerk.

Erst nach dieser Vorbereitung kommt die C-basierte Ransomware zum Einsatz, die speziell für Windows-Umgebungen optimiert ist. Um die Verschlüsselung abzusichern, versuchen die Angreifer, Sicherheitssoftware zu deaktivieren. Forscher beobachteten dabei fehlgeschlagene Versuche, mit einem Tool namens kavrmvr.exe Kaspersky-Produkte zu entfernen – die Abwehrsoftware blockierte den Angriff erfolgreich.

Zero-Day-Lücke als Einfallstor

Besonders brisant: „The Gentlemen“ nutzt sogenannte BYOVD-Angriffe (Bring Your Own Vulnerable Driver). Dabei kommt ein Zero-Day-Exploit in einem Treiber von Kontron (ktapi.sys) zum Einsatz. Dieser ermöglicht es, EDR-Systeme (Endpoint Detection and Response) zu deaktivieren.

Der Exploit erlaubt den Angreifern, physischen Speicher auszulesen und virtuelle in physische Adressen umzuwandeln. So können sie Sicherheitslösungen praktisch blind machen, bevor die Verschlüsselung beginnt. Der Zugang zu den Netzwerken erfolgt häufig über kompromittierte Zugangsdaten, exponierte Dienste wie VPNs oder Firewalls sowie über sogenannte Initial Access Brokers (IABs).

Explosives Wachstum und lukrative Anreize

„The Gentlemen“ hat sich zu einer der aktivsten Ransomware-Gruppen des Jahres 2026 entwickelt. Die Zahlen sind alarmierend:

Anzeige

Die Ransomware-Gruppe „The Gentlemen“ hat in nur einem Jahr 483 Opfer in 66 Ländern verschlüsselt – mit Zero-Day-Lücken und BYOVD-Angriffen. Bevor Ihre Systeme betroffen sind: Sichern Sie sich jetzt die Checkliste mit 5 Sofortmaßnahmen und der Schritt-für-Schritt-EDR-Konfiguration. Jetzt kostenlosen Schutzleitfaden anfordern

  • 315 Prozent mehr Opfer im ersten Quartal 2026: von 40 auf 166 Organisationen
  • Bis Mitte Juni 2026: 483 Opfer in 66 Ländern
  • Ein Datenleck im Mai 2026 deutet auf über 1.570 kompromittierte Systeme hin

Der Erfolg hat auch wirtschaftliche Gründe: Die Gruppe bietet ihren Partnern 90 Prozent der erpressten Lösegeldzahlungen – ein Spitzenwert in der Szene. Hinweise deuten darauf hin, dass die Bande ursprünglich als Partner des Qilin-Ransomware-Netzwerks agierte und mit Zugriff auf rund 14.700 kompromittierte FortiGate-Geräte startete.

Kritische Branchen im Visier

Die Angriffe richten sich gegen zahlreiche Sektoren: Produktion, Gesundheitswesen, Finanzen, IT, Bau und Logistik. Besonders das Gesundheitswesen bleibt ein Hauptziel. Daten aus dem Jahr 2024 zeigen, dass Ransomware zwar nur für elf Prozent aller Vorfälle verantwortlich war, aber für 69 Prozent der kompromittierten Patientendaten.

Die geografische Verteilung der Betroffenheit variiert stark. Laut Kaspersky-Analysen waren in Lateinamerika 8,13 Prozent der Organisationen betroffen, im asiatisch-pazifischen Raum 7,89 Prozent, in Afrika 7,62 Prozent und im Nahen Osten 7,27 Prozent. In Europa lag der Wert mit 3,82 Prozent deutlich niedriger.

Schutzmaßnahmen für Unternehmen

Cybersicherheitsexperten empfehlen angesichts der neuen Bedrohungslage ein Bündel an Maßnahmen:

Anzeige

Besonders das Gesundheitswesen ist im Visier von „The Gentlemen“ – 69 Prozent der kompromittierten Patientendaten gehen auf Ransomware zurück. Mit unserem Whitepaper zur Zero-Trust-Architektur schützen Sie Ihre sensiblen Daten und vermeiden Ausfallzeiten. Zero-Trust-Whitepaper jetzt sichern

  • Regelmäßige Software-Updates und zeitnahes Patchen
  • Robuste EDR-Lösungen implementieren
  • Offline-Backups als letzte Verteidigungslinie
  • Zero-Trust-Architekturen einführen

Die Entwicklung zeigt: „The Gentlemen“ ist kein vorübergehendes Phänomen. Die Gruppe professionalisiert sich rasant und stellt Unternehmen weltweit vor neue Herausforderungen. Wer sich nicht rechtzeitig wappnet, könnte bald zum nächsten Opfer werden.

de | wissenschaft | 69668336 |