The, Gentlemen

The Gentlemen: Ransomware-Gruppe mit 483 Opfern nutzt Kernel-Exploits

01.07.2026 - 11:57:21 | boerse-global.de

Die Ransomware-Gruppe The Gentlemen nutzt Zero-Day-Exploits, um EDR-Systeme auszuschalten. Experten warnen vor einer BYOVD-Epidemie.

The Gentlemen: Neue Hacker-Methoden legen Sicherheitssoftware lahm
The - Rote Schadcode-Zeilen durchbrechen einen blauen Schild als Symbol für einen Cyberangriff auf Sicherheitssoftware. 01.07.2026 - Bild: über boerse-global.de

Eine als „The Gentlemen" bekannte Gruppe treibt diesen Trend massiv voran.

Die Gentlemen: Aufstieg zur Top-Ten-Ransomware-Gruppe

Die Ransomware-as-a-Service-Organisation The Gentlemen hat sich innerhalb weniger Monate zur globalen Bedrohung entwickelt. Bis Mitte Juni 2026 verzeichnete die Gruppe 483 Opfer in 66 Ländern. Sicherheitsexperten führen diesen rasanten Aufstieg auf zwei Faktoren zurück: eine aggressive Provisionspolitik von 90 Prozent für Partner sowie ein hochentwickeltes technisches Arsenal.

Am 30. Juni 2026 veröffentlichten Analysten Details zu einem Zero-Day-Exploit, der den Treiber ktapi.sys des Herstellers Kontron missbraucht. Die Angreifer können damit physischen Speicher auslesen und Kernel-Adressen manipulieren – genug, um Endpoint Detection and Response (EDR)-Systeme lahmzulegen. Ein eigens entwickeltes Werkzeug namens GentleKiller zielt auf über 400 Prozesse von 48 verschiedenen Sicherheitsanbietern ab.

Neben dem Zero-Day-Exploit nutzt die Gruppe weitere signierte, aber verwundbare Treiber wie ProcessMonitorDriver.sys und biontdrv.sys. Besonders betroffen sind kritische Infrastrukturen, das produzierende Gewerbe, das Gesundheitswesen und der Finanzsektor – vor allem in Brasilien, China, Indonesien, Taiwan und Thailand.

BlueHammer: Microsoft-Lücke wird zum Massenphänomen

Die US-Behörde für Cybersicherheit (CISA) hat eine neue Schwachstelle in ihren Katalog bekannter Exploits aufgenommen: CVE-2026-33825, besser bekannt als BlueHammer. Dabei handelt es sich um eine Sicherheitslücke in Microsoft Defender, die Angreifern SYSTEM-Rechte auf Windows-Rechnern verschafft.

Anzeige

Wer verhindern will, dass Ransomware-Gruppen wie The Gentlemen über signierte Treiber in Ihr Netzwerk eindringen, findet im Report die wichtigsten Schutzmaßnahmen – von Kernel-Härtung bis Verhaltensüberwachung. Jetzt kostenlosen Report anfordern

Microsoft hatte das Loch bereits am 14. April 2026 geschlossen. Doch Ransomware-Banden nutzen nun verstärkt ältere, ungepatchte Systeme aus. Die Schwachstelle war ursprünglich im April 2026 von einem Forscher namens Nightmare Eclipse veröffentlicht worden. Mittlerweile setzen mehrere Gruppen den Exploit ein, um vor der Verschlüsselung höhere Systemrechte zu erlangen.

Besonders perfide: Die Angreifer installieren oft 24 Stunden vor dem eigentlichen Ransomware-Angriff eine Hintertür. Diese dient dazu, Sicherheitssoftware wie Kaspersky mit speziellen Deinstallationswerkzeugen zu entfernen.

Forscher warnen: Blocklisten allein reichen nicht

Das Symantec Threat Hunter Team spricht in einem aktuellen Whitepaper von einer regelrechten BYOVD-Epidemie. Hunderte verwundbare, aber gültig signierte Treiber sind derzeit im Umlauf. Das Problem: Windows vertraut diesen Treibern wegen ihrer digitalen Signaturen – und erlaubt ihnen Kernel-Zugriff.

Microsoft pflegt zwar eine Blockliste für gefährliche Treiber. Doch die Aktualisierung hinkt der Realität hinterher. Der von The Gentlemen genutzte Treiber ktapi.sys war zum Zeitpunkt der Entdeckung auf keiner öffentlichen Sperrliste.

Anzeige

Blocklisten allein reichen nicht mehr – der von The Gentlemen genutzte Treiber ktapi.sys war auf keiner Sperrliste. Erfahren Sie, wie Sie mit Verhaltensüberwachung und Tool-Listen BYOVD-Angriffe erkennen, bevor Ihre EDR-Systeme ausgeschaltet werden. BYOVD-Schutz-Guide jetzt sichern

Die Konsequenz: Signaturbasierte Erkennung wird zunehmend wirkungslos. Experten empfehlen stattdessen Verhaltensüberwachung und Kernel-Härtung. Nur so lassen sich unbefugte Zugriffe auf Kernel-Funktionen rechtzeitig erkennen.

Ein weiterer alarmierender Trend: Kriminelle setzen zunehmend auf Künstliche Intelligenz. Erste Analysen deuten darauf hin, dass Angreifer große Sprachmodelle (LLMs) nutzen, um EDR-Erkennungsregeln zu analysieren und zu umgehen. Die Entwicklung von Umgehungstechniken beschleunigt sich dadurch rasant.

de | wissenschaft | 69666780 |