Die Ransomware-Bande “The Gentlemen” demonstriert eine beunruhigende Kombination aus Geschwindigkeit, Professionalität und technischer Raffinesse. Sie operiert nach dem RaaS-Modell (Ransomware-as-a-Service), bei dem erfahrene Cyberkriminelle ihre Infrastruktur Affiliates zur Verfügung stellen, die damit Anschläge durchführen und einen Prozentsatz der Beute abtreten.
Die Zahlen sprechen für sich: Im letzten Quartal beanspruchte “The Gentlemen” 202 Anschläge, nur knapp hinter der Gruppe Qilin mit 353 Fällen. Noch beeindruckender ist die Dynamik – im Januar 2026 waren es 34 nachgewiesene Anschläge, im Februar bereits 67. Diese Progression zeigt ein funktionierendes Geschäftsmodell, das rapide skaliert.
Was die Gruppe technisch auszeichnet, ist ihre Infrastruktur und ihre Taktiken. Sie nutzt die Proxy-Malware SystemBC, um verdeckte Tunnel aufzubauen und Schadsoftware zu verbreiten. Besonders gefährlich ist die Fähigkeit, sich Zugang zu Domain Controllern zu verschaffen und diese zu kompromittieren. Von dort aus können die Angreifer die Active Directory Group Policy nutzen, um Ransomware auf allen Computern der Domäne gleichzeitig zu zünden – eine sogenannte “Massendetonation”, die ganze Organisationen lahmlegen kann.
Die Ransomware selbst ist in der Programmiersprache GO geschrieben und wird kontinuierlich weiterentwickelt. Bemerkenswert ist eine spezielle Variante für VMware ESXi-Hosts, die bei VirusTotal von den meisten Antivirus-Systemen nicht erkannt wird. Diese Variante fährt alle virtuellen Maschinen kontrolliert herunter und deaktiviert die automatische VM-Wiederherstellung – ein Zeichen professioneller Planung.
Das Double-Extortion-Modell, bei dem Daten exfiltriert und verschlüsselt werden, ist Standard. “The Gentlemen” zahlt 90 Prozent der Beute an ihre Affiliates aus, was für Kriminelle sehr attraktiv ist und den schnellen Zustrom von Talenten erklärt.
Deutsche Organisationen sollten das Auftreten dieser Gruppe sehr ernst nehmen. Experten warnen vor allem vor “Internet-facing Devices” – also Systemen, die direkt aus dem Internet erreichbar sind. Von dort gewinnen Angreifer oft Fuß und können sich anschließend lateral im Netzwerk bewegen. Besonders Behörden, Kliniken, Bildungseinrichtungen und Industrieunternehmen sind Ziele dieser Gruppe.
Verteidigungsmaßnahmen sind klassisch, aber entscheidend: Netzwerksegmentierung, regelmäßige Updates, starke Authentifizierung und kontinuierliche Netzwerküberwachung. Allerdings zeigt “The Gentlemen”, dass auch gut vorbereitete Organisationen erfolgreich angegriffen werden können. Das macht diese Gruppe zu einem der bedeutendsten Risiken für Cybersecurity 2026.