Check Point Research hat eine neue Ransomware-Gruppe namens „The Gentlemen“ beobachtet und die Ergebnisse zeigen, dass das tatsächliche Ausmaß ihrer Aktivitäten weit über das hinausgeht, was bisher berichtet wurde.
Die Gruppe hat seit Mitte 2025 öffentlich 320 Opfer gemeldet. 240 Angriffe fanden davon im Jahr 2026 statt, was sie zur zweitaktivsten Ransomware-Gruppe dieses Jahres macht (nach Angaben von Check Point). Die Sicherheitsforscher erhielten Zugriff auf einen aktiven Command-and-Control-Server, der mit einem ihrer Partner verbunden war. Dabei entdeckten sie ein Botnetz mit über 1.570 mutmaßlichen Unternehmensopfern – eine Zahl, die deutlich über den von der Gruppe öffentlich bekannt gegebenen Angaben liegt und die inzwischen an die Strafverfolgungsbehörden weitergeleitet wurde.
Der Dienst bietet ein breites Portfolio an Locker-Modulen, die in Go für Windows, Linux, NAS und BSD implementiert sind, sowie einen zusätzlichen in C geschriebenen Locker für ESXi, wodurch die Abdeckung der verschiedenen Plattformen ermöglicht wird, die in Unternehmensumgebungen üblicherweise anzutreffen sind. Während eines Einsatzes zur Incident Response versuchte ein mit “The Gentlemen” verbundener Partner, SystemBC einzusetzen, eine Proxy-Malware, die häufig in von Menschen gesteuerten Ransomware-Operationen für verdecktes Tunneling und die Auslieferung von Payloads genutzt wird.
Check Point Research beobachtete Opfer-Telemetriedaten vom entsprechenden SystemBC Command-and-Control-Server und deckte dabei ein Botnetz mit über 1.570 Opfern auf, wobei das Infektionsprofil stark darauf hindeutet, dass der Fokus eher auf Unternehmens- und Organisationsumgebungen liegt als auf opportunistischen Angriffen auf Privatkunden.
Von den über 1.570 Opfern stammen die meisten aus den USA, gefolgt von Großbritannien und Deutschland (vgl. Abbildung 1).
Abbildung 1: Die Top 15 der betroffenen Länder (Quelle: Check Point Software 2026)
Einige weitere auffällige Punkte:
- Ihr Wachstum wird durch eine 90/10-Aufteilung der Partnerumsätze (im Gegensatz zum 80/20-Standard) angetrieben, was erfahrene Betreiber aktiv von konkurrierenden Programmen wie LockBit abzieht
- Ihr Tempo ist vergleichbar mit dem von LockBit 3 in dessen Anfangszeit, das weithin als die erfolgreichste Ransomware-Operation aller Zeiten gilt
- Das Gesundheitswesen ist ihr dritthäufigstes Angriffsziel, was darauf hindeutet, dass sie die informellen Grenzen, die andere Gruppen gegenüber Krankenhäusern einhalten, nicht beachten
- Der erste Zugriff erfolgt möglicherweise über nicht gepatchte, mit dem Internet verbundene Geräte (VPNs und Firewalls), was dies zu einer Geschichte über grundlegende Sicherheitsmängel auf Unternehmensebene macht
Die Aktivitäten rund um die Gentlemen RaaS verdeutlichen, wie schnell sich ein gut konzipiertes Partnerprogramm vom Neuling zu einem einflussreichen Akteur im Ökosystem entwickeln kann. Durch die Kombination eines vielseitigen, plattformübergreifenden Locker-Sets mit integrierten Funktionen zur lateralen Bewegung, einer auf Gruppenrichtlinien basierenden Massenbereitstellung und starken Fähigkeiten zur Umgehung von Abwehrmaßnahmen ermöglicht die Operation selbst mäßig erfahrenen Partnern, Angriffe im Unternehmensmaßstab durchzuführen, deren letzte Phase die Infektion mit Ransomware ist.
Die beobachtete Nutzung von SystemBC zusammen mit Cobalt Strike sowie die Entdeckung eines Botnetzes mit mehr als 1.570 mutmaßlichen Opfern unterstreichen zudem, dass die Partner von „The Gentlemen“ nicht isoliert agieren, sondern sich aktiv in eine breitere Toolkette aus ausgereiften Post-Exploitation-Frameworks und Proxy-Infrastrukturen integrieren.
Unternehmen sollten The Gentlemen daher auch nicht als isolierte Gruppe betrachten, sondern als Teil eines umfassenderen, modularen Ökosystems für Angriffe, in dem Fähigkeiten für den Erstzugang, die Post-Exploitation und die Verschlüsselung schnell neu kombiniert und kampagnenübergreifend wiederverwendet werden können.
Eli Smadja, Group Manager bei Check Point Research kommentiert wie folgt: „Die meisten Ransomware-Gruppen sorgen bei ihrem Start für Aufsehen und verschwinden dann wieder. Die Gentlemen sind anders. Sie haben das Problem der Rekrutierung von Partnern gelöst, indem sie ein besseres Angebot machen als jeder andere im kriminellen Ökosystem. Als wir uns Zugang zu einem der Server ihrer Betreiber verschafften, fanden wir über 1.570 kompromittierte Unternehmensnetzwerke, die noch nicht einmal in den Nachrichten erwähnt worden waren. Das tatsächliche Ausmaß dieser Operation ist deutlich größer als öffentlich bekannt, und sie wächst weiter.“
Mehr lesen Sie hier: https://research.checkpoint.com/2026/dfir-report-the-gentlemen/
