Zurück zum Blog
12. Juni 20265 Min. Lesezeit

The Gentlemen: Ransomware mit wurmartiger Ausbreitung und einer neuen Bedrohungsstufe

The Gentlemen: Die sich wandelnde Ransomware-Bedrohung für Unternehmen

Die Cybersicherheitslandschaft entwickelt sich ständig weiter – und mit ihr die Angreifer. Das Auftreten der Ransomware „The Gentlemen", eine anspruchsvolle Operation, die als Phantom Mantis verfolgt wird, markiert eine deutliche Eskalation im Ransomware-Bedrohungsumfeld. Diese Gruppe hat schnell 478 Opfer verzeichnet und setzt dabei auf fortgeschrittene Taktiken, KI für die Entwicklung und sogar wurmartige Ausbreitungsfähigkeiten. Für Unternehmen ist das Verständnis dieser Bedrohung nicht akademisch: Es ist entscheidend für operative Resilienz und Datenintegrität. Berichterstattung wie die Meldung von The Hacker News zu The Gentlemen unterstreicht die Dringlichkeit für Sicherheitsteams.

Vom Affiliate zum Autonomen: Der Aufstieg von The Gentlemen

Anfänglich als Affiliate innerhalb prominenter Ransomware-as-a-Service-(RaaS)-Modelle wie LockBit, Qilin und Medusa tätig, wechselte The Gentlemen im Juli 2025 zu einem unabhängigen Partnerschaftsprogramm. Dieser Schritt markiert eine strategische Bewegung hin zu Selbstständigkeit und größerer Kontrolle über die Operationen. Angeführt vom russischsprachigen Cyberkriminellen LARVA-368 hat die Gruppe ein hohes Maß an Anpassungsfähigkeit und technischer Kompetenz gezeigt.

Besonders besorgniserregend ist laut PRODAFT-Analyse die starke Abhängigkeit von LARVA-368 von künstlicher Intelligenz für die Entwicklung und Wartung der Ransomware und zugehöriger Tools sowie für Post-Exploitation-Verfahren. Diese KI-Integration ermöglicht einen schnellen Entwicklungszyklus, sodass die Gruppe ihre Ransomware rasch anpassen und patchen kann – wie ein am selben Tag veröffentlichter Patch nach der Offenlegung eines Entschlüsselers zeigt.

Das Geschäft der Erpressung: Eine hochorganisierte Operation

The Gentlemen operiert mit der Raffinesse eines gut strukturierten kriminellen Unternehmens. Kommunikation, technischer Support und sogar Streitbeilegung unter Affiliates werden über dedizierte Personas und sichere Plattformen wie Tox, SimpleX Chat und Ricochet Refresh abgewickelt. Diese professionelle Organisation erstreckt sich auf die Affiliate-Rekrutierung, bei der potenzielle Partner mindestens 1 GB exfiltrierter Opferdaten vorlegen müssen – eine clevere Taktik zur Überprüfung von Affiliates und zur Abschreckung von Strafverfolgungsbehörden.

Ihr Gewinnbeteiligungsmodell ist aggressiv und bietet Affiliates 90 % der Einnahmen, deutlich attraktiver als viele andere RaaS-Operationen. Das motiviert ein breiteres Netzwerk böswilliger Akteure und verstärkt die Bedrohung weiter. Die Gruppe verfolgt und nutzt aktiv Zero-Day- und N-Day-Schwachstellen in gängiger Unternehmenssoftware und -infrastruktur, einschließlich VMware Aria Operations, Fortinet, Cisco und Microsoft-Produkten, was eine anspruchsvolle Threat-Intelligence-Fähigkeit belegt.

Der technische Vorsprung: Wurmartige Ausbreitung und KI-unterstützte Angriffe

Was The Gentlemen wirklich auszeichnet, ist der vielschichtige Ansatz bei Kompromittierung und Ausbreitung:

  • Initialer Zugriff: Die Gruppe erlangt primär Zugang über verwundbare internetexponierte Dienste oder gestohlene Anmeldedaten. Edge-Geräte wie VPN-Appliances, Firewalls (Cisco, Fortinet FortiGate) und andere exponierte Systeme sind bevorzugte Ziele.
  • Fortgeschrittenes Tooling: Im Inneren setzen sie ein umfassendes Toolkit für verschiedene Angriffsphasen ein. Red-Team-Utilities wie NetExec, RelayKing, TaskHound, PrivHound und CertiHound werden für Active-Directory-Erkennung, Zertifikatsmissbrauch, Privilegieneskalation und Freigabeerkennung genutzt. Custom Tools wie EDRStartupHinder und gfreeze dienen der Umgehung von Sicherheitsprogrammen, während Velociraptor Command-and-Control (C2) ermöglicht.
  • Wurmartige Verbreitung: Microsofts Verfolgung dieses Clusters, genannt Storm-2697, offenbart eine kritische Fähigkeit: Mit dem --spread-Argument verwandelt sich die Ransomware The Gentlemen von einem Einzelhost-Verschlüsseler in einen selbstverbreitenden Wurm. Sie kann versuchen, sich auf jedem erreichbaren System im Netzwerk zu deployen und erhöht so dramatisch Angriffsreichweite und -auswirkung.
  • Datenlöschung und hybride Verschlüsselung: Neben der Verschlüsselung kann die Ransomware Post-Encryption-Routinen ausführen, um wiederherstellbare Artefakte von der Festplatte mit dem --wipe-Argument zu eliminieren. Sie nutzt ein robustes hybrides kryptographisches Schema (X25519-Schlüsselaustausch mit XChaCha20-Symmetrieverschlüsselung), wodurch eine Entschlüsselung ohne Schlüssel praktisch unmöglich ist.
  • Multi-Channel-Erpressung: ZeroFox berichtet, dass The Gentlemen Ransomware-Angriffe mit E-Mail-Kontakt und telefonischem Druck kombiniert – eine umfassende und aggressive Erpressungsstrategie.

Geschäftsrisiken und Implikationen für Unternehmen

Die Auswirkungen der Fähigkeiten von The Gentlemen auf Unternehmen sind tiefgreifend:

  • Vergrößerte Angriffsfläche: Der Fokus auf gängige Edge-Geräte und internetexponierte Dienste bedeutet, dass praktisch jede Organisation mit digitaler Präsenz ein potenzielles Ziel ist.
  • Schnelle Kontamination: Die wurmartige Ausbreitung verkürzt die Zeit bis zur vollständigen Netzwerkkompromittierung drastisch und macht traditionelle, reaktive Incident Response unzureichend.
  • Anspruchsvolle Umgehung: Fortgeschrittene Evasionstechniken erschweren Erkennung und Eindämmung und belasten bestehende Sicherheitskontrollen.
  • Erheblicher Datenverlust und Ausfallzeiten: Die Kombination aus starker Verschlüsselung und möglicher Datenlöschung führt zu schweren Betriebsunterbrechungen und finanziellen Verlusten.
  • Reputationsschäden und regulatorische Strafen: Datenverletzungen und längere Ausfälle können den Ruf schwer schädigen und erhebliche regulatorische Sanktionen nach sich ziehen.
  • Lieferkettenrisiko: Als RaaS-Operation können ihre Affiliates jede Organisation angreifen, einschließlich derer in Ihrer Lieferkette, mit Kaskadeneffekten.

Proaktive Verteidigung: Strategien zur Abwehr von The Gentlemen

Unternehmen müssen eine proaktive, mehrschichtige Cybersicherheitsstrategie verfolgen. Sich allein auf Perimeter-Abwehr zu verlassen, reicht nicht mehr aus.

Zentrale Empfehlungen:

  1. Robustes Patch- und Schwachstellenmanagement: Aktualisieren und patchen Sie regelmäßig alle Software, Betriebssysteme und Netzwerkgeräte, besonders internetexponierte Systeme. Achten Sie besonders auf gemeldete Schwachstellen in Fortinet-, Cisco-, VMware- und Microsoft-Produkten.
  2. Netzwerksegmentierung: Implementieren Sie strenge Segmentierung, um laterale Bewegung von Ransomware einzuschränken. Wenden Sie Zero-Trust-Network-Access-(ZTNA)-Prinzipien an, wo möglich.
  3. EDR / XDR: Setzen Sie fortgeschrittene Endpoint-Detection-and-Response-(EDR)- oder Extended-Detection-and-Response-(XDR)-Lösungen ein, die anspruchsvolle Taktiken erkennen und darauf reagieren können.
  4. IAM stärken: Erzwingen Sie starke, eindeutige Passwörter und Multi-Faktor-Authentifizierung (MFA), insbesondere für administrative und privilegierte Konten.
  5. Umfassende Backup- und Recovery-Strategie: Implementieren Sie die 3-2-1-Strategie mit isolierten und unveränderlichen Backups.
  6. Security-Awareness-Training: Schulen Sie Mitarbeiter zu Phishing, Social Engineering und der Meldung verdächtiger Aktivitäten.
  7. Kontinuierliche Überwachung und Threat Hunting: 24/7-Sicherheitsüberwachung über SIEM und proaktive Bedrohungssuche.
  8. Incident-Response-Plan: Entwickeln, testen und aktualisieren Sie regelmäßig einen umfassenden Plan für Eindämmung, Beseitigung und Wiederherstellung.

Resilienz mit ITCS VIP

Die Komplexität und Entwicklung von Bedrohungen wie The Gentlemen unterstreichen den Bedarf an spezialisierter Expertise. Bei ITCS VIP verstehen wir, dass Unternehmens-Cybersicherheit nicht nur Technologie ist – es geht um Strategie, Menschen und Prozesse.

Unsere professionellen Dienstleistungen adressieren die spezifischen Herausforderungen moderner Ransomware-Gruppen:

  • Managed Detection and Response (MDR): Proaktive 24/7/365-Überwachung, Threat Hunting und schnelle Incident Response mit fortgeschrittenen EDR/XDR-Technologien.
  • Netzwerksicherheitsarchitektur und Segmentierung: Entwurf und Implementierung robuster Segmentierungsstrategien, einschließlich Zero-Trust-Frameworks, zur Eindämmung wurmartiger Ausbreitung.
  • Cloud Security Posture Management (CSPM): Identifikation und Behebung von Fehlkonfigurationen und Schwachstellen in Cloud-Umgebungen.
  • Schwachstellenmanagement und Penetrationstests: Gründliche Assessments zur proaktiven Behebung kritischer Schwachstellen für initialen Zugriff.
  • Cybersicherheitsberatung und Incident-Response-Planung: Entwicklung und Verfeinerung von Response-Plänen.
  • Sichere Backup- und Disaster-Recovery-Lösungen: Air-gapped und unveränderliche Lösungen für Datenwiederherstellung.

Durch die Partnerschaft mit ITCS VIP können Unternehmen ihre Abwehr stärken, die Angriffsfläche reduzieren und ihre Resilienz verbessern. Warten Sie nicht auf einen Vorfall, um zu handeln.

Fazit

The Gentlemen stellt eine beeindruckende Weiterentwicklung der Cybererpressung dar – KI-gestützte Entwicklung, wurmartige Ausbreitung und ein hochorganisiertes RaaS-Modell. Die schnell wachsende Opferzahl und die anspruchsvolle Angriffskette erinnern daran, dass statische Abwehr unzureichend ist. Unternehmen müssen einen dynamischen, proaktiven und geschichteten Sicherheitsansatz verfolgen und ihre Verteidigung kontinuierlich anpassen, um intelligenten Gegnern einen Schritt voraus zu sein.