Die Bedrohung durch The Gentlemen wächst rasant. Was die Gruppe besonders macht, ist nicht nur ihre technische Raffinesse, sondern ihre Geschäftsmentalität. Sie haben ein Affiliate-Modell etabliert, das attraktiver ist als bei konkurrierenden Ransomware-Gruppen – ein Grund für ihr explosives Wachstum. Eli Smadja, Group Manager bei Check Point Research, beschreibt es prägnant: “Die meisten Ransomware-Gruppen machen Lärm beim Start und verschwinden dann. The Gentlemen sind anders.”
Die technische Analyse offenbart ein koordiniertes Vorgehen: Die Angreifer infiltrieren Systeme über internet-exponierte Dienste oder gestohlene Zugangsdaten, führen dann Aufklärung und laterale Bewegungen durch, bevor sie Cobalt Strike und SystemBC als Staging-Tools einsetzen. SystemBC ist dabei kein Zufallsfund – die Malware etabliert SOCKS5-Netzwerk-Tunnel und nutzt ein custom RC4-verschlüsseltes Protokoll zur Kommunikation mit ihren Servern. Sie kann zusätzliche Schadware herunterladen und ausführen, entweder direkt in den Speicher oder auf die Festplatte.
Besonders perfide ist der Einsatz von Group Policy Objects (GPOs), um domänenweite Kompromittierung zu ermöglichen. Dabei deaktivieren die Angreifer gezielt Windows Defender durch PowerShell-Skripte, deaktivieren Firewalls, reaktivieren das veraltete SMB1-Protokoll und lockern LSA-Kontrollen. Das Windows-Chiffrat basiert auf Go, während die ESXi-Variante speziell für VMware-Umgebungen entwickelt wurde – sie kann Virtual Machines herunterfahren und Neustarts verhindern.
Die Statistiken sind alarmierend: Im ersten Quartal 2026 registrierte ZeroFox 2.059 Ransomware-Vorfälle, mit The Gentlemen als drittaktivste Gruppe (192 Anschläge). Besonders ungewöhnlich ist das geografische Muster: Während andere Gruppen 50 Prozent ihrer Ziele in Nordamerika haben, lag der Anteil bei The Gentlemen 2025/2026 deutlich niedriger (20%, 2%, 13%). Das deutet auf globale Diversifizierung hin.
Ein weiterer besorgniserregender Trend: Ransomware-Attacken werden immer schneller. Attacken-Dwell-Times kollabieren von Tagen auf Stunden. Die Akira-Ransomware kann in einer Stunde vom Eindringen zur vollständigen Verschlüsselung übergehen – ohne erkannt zu werden. Etwa 69 Prozent aller beobachteten Angriffe werden bewusst nachts und am Wochenende durchgeführt, um Verteidigungsteams zu überraschen.
Für deutsche Unternehmen bedeutet dies: Proaktive Maßnahmen sind essentiell. Dazu gehören regelmäßige Sicherheitsaudits, Segmentierung von Netzwerken, EDR-Lösungen, Multi-Faktor-Authentifizierung und schnelle Patch-Management-Prozesse. The Gentlemen sind kein opportunistisches Phänomen – sie sind ein etabliertes, diszipliniertes kriminelles Ökosystem.