Ransomware

Die stille Expansion der Gentlemen-Ransomware - Deutschland im Fokus

, Check Point | Autor: Herbert Wieler

Die stille Expansion der Gentlemen-Ransomware - Deutschland im Fokus

Deutschland unter den Top 3 Zielen

Was zunächst wie eine weitere neue Ransomware-Gruppe wirkte, entpuppt sich bei genauerem Hinsehen als ein rasant wachsender Akteur mit erstaunlicher Reichweite. Die Sicherheitsforscher von Check Point Software haben mit „The Gentlemen“ eine Gruppierung identifiziert, deren tatsächliche Aktivitäten deutlich über das bislang Sichtbare hinausgehen.

Offiziell meldeten die Betreiber seit Mitte 2025 rund 320 Opfer. Doch allein im Jahr 2026 sollen bereits 240 Angriffe erfolgt sein – genug, um die Gruppe laut den Analysten zur zweitaktivsten Ransomware-Operation des Jahres zu machen. Hinter den Kulissen zeigt sich jedoch ein ganz anderes Bild: Durch den Zugriff auf einen Command-and-Control-Server konnten die Experten ein Botnetz mit über 1.570 mutmaßlich kompromittierten Unternehmensnetzwerken aufdecken. Eine Zahl, die das öffentlich kommunizierte Ausmaß um ein Vielfaches übersteigt.

Ein globales Problem – mit Deutschland im Fokus

Ransomware Opfer

Die geografische Verteilung der Opfer zeichnet ein klares Bild: Die meisten betroffenen Organisationen sitzen in den USA, gefolgt von Großbritannien und Deutschland. Damit zählt Deutschland aktuell zu den drei am stärksten betroffenen Ländern – ein deutliches Signal dafür, wie stark auch europäische Unternehmen im Fadenkreuz stehen. Auffällig ist zudem die klare Ausrichtung auf Organisationen statt auf Privatpersonen. Die Angriffsmuster und Telemetriedaten deuten darauf hin, dass es sich überwiegend um gezielte Kampagnen gegen Unternehmensinfrastrukturen handelt.

Erfolgsmodell mit Anreizsystem

Ein zentraler Baustein für das schnelle Wachstum der Gruppe liegt offenbar im Geschäftsmodell. „The Gentlemen“ setzen auf ein besonders attraktives Partnerprogramm: 90 Prozent der Einnahmen gehen an die Affiliates – deutlich mehr als die in der Szene üblichen 80 Prozent. Dieser Ansatz scheint aufzugehen und lockt selbst erfahrene Akteure von etablierten Plattformen ab. Das Tempo erinnert Beobachter an die Anfangsphase von LockBit 3, einer der erfolgreichsten Ransomware-Operationen überhaupt. Auch strategisch zeigt sich die Gruppe kompromisslos: Selbst kritische Bereiche wie das Gesundheitswesen gehören zu den häufigeren Angriffszielen – ein Bereich, den andere Gruppen oft bewusst meiden.

Technisch breit aufgestellt

Ransomware Infektionskette

Technisch agiert die Gruppe äußerst flexibel. Ihr Portfolio umfasst verschiedene „Locker“-Varianten für Windows, Linux, NAS und BSD – ergänzt durch eine spezielle Version für ESXi-Server. Diese breite Plattformunterstützung ermöglicht Angriffe auf nahezu jede typische Unternehmensumgebung. Für den Erstzugang nutzen die Angreifer offenbar häufig bekannte Schwachstellen: ungepatchte VPNs oder Firewalls, die direkt mit dem Internet verbunden sind. In späteren Phasen kommen Werkzeuge wie SystemBC zum Einsatz, um verdeckte Kommunikationskanäle aufzubauen und weitere Schadsoftware nachzuladen. In Kombination mit etablierten Post-Exploitation-Frameworks entsteht so eine hochgradig modulare Angriffskette.

Mehr als nur eine Gruppe

Eli Smadja, Group Manager bei Check Point Research
Eli Smadja, Leiter von Check Point Research

Was „The Gentlemen“ besonders gefährlich macht, ist weniger ihre einzelne Technik als vielmehr ihre Einbindung in ein größeres Ökosystem. Die Betreiber und ihre Partner greifen auf eine Vielzahl bewährter Tools und Infrastrukturen zurück, die flexibel kombiniert und über verschiedene Kampagnen hinweg wiederverwendet werden können. Für Unternehmen bedeutet das: Es reicht nicht, einzelne Bedrohungsakteure isoliert zu betrachten. Vielmehr entsteht hier ein Baukastensystem für Cyberangriffe, in dem Zugang, Ausbreitung und Verschlüsselung eng miteinander verzahnt sind.

Eli Smadja, Group Manager bei Check Point Research , bringt es auf den Punkt: Die meisten Ransomware-Gruppen verschwinden so schnell, wie sie auftauchen. „The Gentlemen“ hingegen wachsen – vor allem, weil sie ihren Partnern schlicht bessere Konditionen bieten und dadurch ein immer größeres Netzwerk aufbauen. Das Fazit ist klar: Hinter dem scheinbar neuen Namen verbirgt sich längst ein ernstzunehmender Player, dessen tatsächliche Dimensionen erst allmählich sichtbar werden. Und während die öffentliche Wahrnehmung noch hinterherhinkt, wächst die Bedrohung bereits weiter.