The Gentlemen Ransomware: 21 Verbreitungsmethoden im Windows-Netzwerk

Sicherheitsforscher haben eine hochentwickelte Ransomware namens „The Gentlemen“ identifiziert, die Windows-Systemrechte für automatisierte Datenverschlüsselung missbraucht. Die Bedrohung richtet sich gegen Unternehmen weltweit – und könnte auch deutsche Firmen treffen.

Höchste Windows-Privilegien als Einfallstor

Die Malware nutzt eine spezielle geplante Aufgabe, um mit den maximalen Systemrechten ausgeführt zu werden. Microsoft Threat Intelligence verfolgt die Angreifer unter dem Codenamen Storm-2697 und beschreibt die Ransomware als besonders gefährlich: Sie ist in der Programmiersprache Go geschrieben und verwendet die Garble-Verschleierungstechnik, um der Erkennung zu entgehen.

Angesichts der rasanten Zunahme von Ransomware-Angriffen müssen Unternehmen ihre Sicherheitslücken schließen, bevor Hacker diese ausnutzen können. Das kostenlose E-Book enthüllt, wie Sie Ihre IT-Sicherheit ohne teure Investitionen stärken und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken und Unternehmen proaktiv schützen

Im Zentrum des Angriffs steht eine geplante Aufgabe namens „gentlemen_system“. Diese läuft unter dem SYSTEM-Konto – dem höchsten Benutzerkonto in Windows-Umgebungen. Dadurch kann die Ransomware lokale Laufwerke und Netzwerkfreigaben verschlüsseln, ohne dass herkömmliche Sicherheitsmaßnahmen eingreifen können.

Doppelte Erpressung und Datenklau

„The Gentlemen“ arbeitet nach dem Double-Extortion-Modell: Die Angreifer stehlen zunächst sensible Daten und verschlüsseln dann die Dateien. Bei der Ausführung deaktiviert die Software den Microsoft Defender, löscht System-Backups und Schattenkopien und bereigt die Ereignisprotokolle, um forensische Untersuchungen zu erschweren.

Für die Verschlüsselung setzt die Malware auf eine Kombination der Algorithmen Curve25519 und XChaCha20 – beides kryptografisch starke Verfahren, die eine Wiederherstellung ohne Schlüssel praktisch unmöglich machen.

Rasante Ausbreitung im Netzwerk

Besonders alarmierend: Die Sicherheitsforscher identifizierten 21 verschiedene Methoden der Selbstverbreitung pro Zielsystem. Darunter PsExec, Windows Management Instrumentation (WMI) und PowerShell. Ein spezielles Kommandozeilen-Argument erlaubt es der Malware, sich automatisch im gesamten Netzwerk auszubreiten.

Da Hacker zunehmend psychologische Manipulationstaktiken nutzen, um in Firmennetzwerke einzudringen, ist eine gezielte Sensibilisierung der Mitarbeiter unerlässlich. Dieser kostenlose Leitfaden zeigt Unternehmen in vier Schritten, wie sie Phishing-Angriffe und CEO-Fraud effektiv stoppen können. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen

Die Gruppe hinter „The Gentlemen“ betreibt seit September 2025 ein Ransomware-as-a-Service-Modell (RaaS) und unterhält Partnerschaften mit der Plattform BreachForums. Erste Aktivitäten wurden Mitte 2025 beobachtet. Die aktuellen Angriffe richten sich gegen das Gesundheitswesen, Finanzdienstleister, Bildungseinrichtungen und den Transportsektor – weltweit in Nord- und Südamerika, Europa, Afrika und Asien.

Ransomware-Welle Ende Mai

Die Veröffentlichung der technischen Details fällt in eine Phase erhöhter Ransomware-Aktivität. Am 29. Mai 2026 berichteten Branchenquellen auch über die Gines-Ransomware, einen Vertreter der Makop-Familie, die MSSQL-Dienste angreift und ebenfalls nach dem Double-Extortion-Modell arbeitet.

In der letzten Maiwoche meldete die INC-Ransom-Gruppe mehrere prominente Opfer. Dazu gehört ein Angriff auf den Sterilisationsgeräte-Hersteller Belimed AG am 28. Mai 2026. Die Gruppe behauptet, 1,5 Terabyte Daten gestohlen zu haben, darunter SAP-Datenbanken und Finanzunterlagen. Bereits am 27. Mai 2026 soll dieselbe Gruppe 100 Gigabyte Daten vom rumänischen Erdgasverteiler Distrigaz Vest erbeutet haben.

Parallel dazu gab die DragonForce-Gruppe bekannt, die Praxis Ramos Rheumatology in Pennsylvania kompromittiert zu haben – ebenfalls am 27. Mai 2026.

Diese Entwicklungen folgen auf eine erfolgreiche Polizeiaktion in Europa: Niederländische Behörden meldeten am 29. Mai 2026 die Zerschlagung eines massiven Botnets mit 17 Millionen infizierten Geräten.

Schutzmaßnahmen für Unternehmen

Sicherheitsexperten betonen, dass moderne Ransomware weit über einfache Dateiverschlüsselung hinausgeht. Der Fokus liegt heute auf der vollständigen Netzwerkübernahme und dem Datendiebstahl.

Microsoft empfiehlt zur Abwehr von „The Gentlemen“ unter anderem:
- Cloud-gestützten Schutz aktivieren
- Controlled Folder Access einschalten
- Die unbefugte Nutzung von Verwaltungstools wie PsExec und WMI blockieren

Gerade die letzten beiden Punkte sind entscheidend: Denn genau diese Tools nutzt die Ransomware für ihre laterale Bewegung im Netzwerk und die Rechteausweitung.

de | wissenschaft | 69445087 |