Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem Pionier und weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat interne Daten der Ransomware-Gruppe „The Gentlemen“ (CPR berichtete) analysiert, die nach einer Kompromittierung ihrer Infrastruktur öffentlich wurden. Die Erkenntnisse geben einen seltenen Einblick in die Struktur, Arbeitsweise und Angriffsmethoden einer der derzeit aktivsten Ransomware-Operationen weltweit.
Die wichtigsten Ergebnisse im Überblick:
- Zweite Kraft im Ransomware-Ökosystem: The Gentlemen zählen mit über 400 öffentlich benannten Opfern zu den aktivsten Ransomware-Gruppen weltweit im Jahr 2026.
- Eigene Infrastruktur kompromittiert: Am 4. Mai 2026 bestätigte der Administrator der Gruppe, dass die Backend-Datenbank geleakt wurde, vermutlich über eine Schwachstelle beim Hosting-Anbieter 4VPS.
- Kleine, professionelle Struktur: Die Gruppe wird von rund neun namentlich bekannten Operateuren betrieben, angeführt von einem einzelnen Administrator, der die Plattform aufgebaut hat, Angriffe koordiniert und persönlich an Verschlüsselungsvorgängen teilnimmt.
- KI als Entwicklungsbeschleuniger: Der Administrator nutzte KI-Coding-Assistenten, darunter die chinesischen Modelle DeepSeek und Qwen, um das gesamte RaaS-Admin-Panel in nur drei Tagen zu entwickeln.
- Kettenangriffe dokumentiert: Daten, die bei einem britischen IT-Dienstleister gestohlen wurden, dienten als Einfallstor für einen Folgeangriff auf dessen Kunden in der Türkei.
- Strafverfolgung informiert: Check Point Research hat die Erkenntnisse an die zuständigen Strafverfolgungsbehörden weitergegeben. Die Ermittlungen laufen.
Eine kleine, professionell geführte Operation
The Gentlemen werden von rund neun namentlich bekannten Operateuren betrieben, die um einen einzigen Administrator (Deckname: zeta88 bzw. hastalamuerte) organisiert sind. Dieser baut die Ransomware, betreibt die RaaS-Plattform, verwaltet Auszahlungen und nimmt persönlich an Angriffen teil. Darauf schließen lässt ein geleakter Chat, in dem er während einer laufenden Verschlüsselung „I’m locking“ schreibt. Er wurde zudem als ehemaliger Affiliate der Qilin-Ransomware identifiziert: ein Berufskrimineller, der sein Handwerk bei einer etablierten Operation erlernte, bevor er selbst eine aufbaute und nun Qilin Konkurrenz macht.
Die Gruppe bietet Affiliates eine 90/10-Umsatzbeteiligung, die deutlich über dem Branchenstandard von 80/20 liegt, was erfahrene Nutzer aus konkurrierenden Programmen anzieht.
Einfallstor: Ungepatchte Geräte und gestohlene Zugangsdaten
Der Zugang erfolgt fast ausschließlich über ungepatchte, im Internet exponierte Geräte. The Gentlemen zielen gezielt auf VPNs und Appliances, nutzen die Schwachstellen CVE-2024-55591 und CVE-2025-32433 aus, kaufen Zugänge von Drittanbietern oder verwenden Zugangsdaten aus Infostealer-Märkten. Im Netzwerk angekommen, arbeiten sie schnell: Active-Directory-Enumeration, NTLM-Relay-Angriffe, EDR-Deaktivierung, laterale Bewegung über legitime Admin-Tools, Browser-Session-Harvesting für Microsoft 365 und Okta sowie Datenexfiltration. All das geschieht vor einer domänenweiten Ransomware-Verteilung gemäß der Gruppenrichtlinie.
Ein Einbruch führt zum nächsten
Für Unternehmensverantwortliche ist dies möglicherweise die wichtigste Erkenntnis: Im April 2026 kompromittierten die “Gentlemen” ein britisches Software-Beratungsunternehmen und nutzte die dabei erbeuteten Daten, wie Infrastrukturdokumentation, Zugangsdaten und Kundeninformationen, für einen Folgeangriff auf einen Kunden des Unternehmens in der Türkei. Das britische Unternehmen hatte öffentlich erklärt, es seien nur routinemäßige Geschäftsdaten betroffen gewesen. Die internen Chatprotokolle zeichnen ein anderes Bild.
Ein Sicherheitsvorfall im eigenen Unternehmen kann damit zum Einfallstor für Kunden werden. Daten, die im Auftrag Dritter verwaltet werden, verdienen denselben Schutz wie die sensibelsten eigenen Informationen.
Was Sicherheitsverantwortliche jetzt tun sollten:
- Edge-Geräte als Chefsache behandeln: VPNs, Firewalls und Remote-Access-Gateways sind das Haupteinfallstor. CVE-2024-55591 und CVE-2025-32433 werden von dieser Gruppe aktiv ausgenutzt.
- Davon ausgehen, dass Zugangsdaten kompromittiert sind: Multi-Faktor-Authentifizierung ist notwendig, aber nicht ausreichend. Anomale Authentifizierungsmuster in Microsoft 365, VPN-Panels und Identitätssystemen müssen überwacht werden.
- Active Directory schützen: NTLM-Relay-Angriffe und Fehlkonfigurationen der AD Certificate Services gehören zum Kernrepertoire der Gruppe. Regelmäßige AD-Sicherheitsaudits sind unverzichtbar.
- Erkennung auf die Phase der lateralen Bewegung ausrichten: Wenn die Ransomware detoniert, ist Eindämmung nahezu unmöglich. Verhaltensbasierte Erkennung während der Bewegung des Angreifers im Netzwerk bietet die eigentliche Chance zur Abwehr.
- Backups auf echte Isolation prüfen: Die Gruppe nimmt gezielt NAS-Geräte und Backup-Systeme ins Visier. Offline- und unveränderbare Backups, getrennt von der Domäne, sind der Unterschied zwischen Wiederherstellung und Kapitulation.
Das große Ganze
Die „Gentlemen“ verkörpern den aktuellen Stand der professionellen Ransomware: eine kleine, gut organisierte Gruppe, die ein einfach zu wiederholendes Vorgehen mit sorgfältig ausgewählten Tools und einem Geschäftsmodell umsetzt, das darauf ausgelegt ist, erfahrene Akteure anzuziehen. Die Techniken sind nicht innovativ, stattdessen wurden bestehende zu einem skalierbaren Betrieb gebündelt und ihr Partnerprogramm so gestaltet, dass es erfolgreich ist.
Der Einbruch in die Infrastruktur der Ransomware Gruppe bietet einen ungewöhnlich klaren Einblick in die Funktionsweise dieses Betriebs. Check Point Research hat die Ergebnisse an die Strafverfolgungsbehörden weitergeleitet. Die Ermittlungen laufen.
IoCs (Indicators of Compromise), YARA-Erkennungsregeln, die vollständige Liste der TOX-IDs der Partner und weitere Informationen finden Sie im vollständigen CPR-Forschungsbericht.
