Die stille Bedrohung: The Gentlemen Ransomware-Gruppe im Aufstieg
Group-IB hat Details zur Ransomware-as-a-Service-Operation “The Gentlemen” offengelegt, deren Ursprünge in einem bizarren Zahlungsstreit liegen. Der Operator “hastalamuerte” startete 2025 einen öffentlichen Schiedsverfahren im RAMP-Forum gegen die Qilin-Ransomware-Betreiber – wegen unbezahlter Affiliate-Provisionen in Höhe von 48.000 Dollar. Aus dieser Frustration entstand eine neue Gruppe mit etwa 20 Mitgliedern, die seither 94 Organisationen angegriffen hat.
Die Schlagkraft dieser Gruppe liegt in ihrer Effizienz: Sie nutzt CVE-2024-55591, eine kritische Authentifizierungslücke in FortiOS/FortiProxy, für den initialen Zugriff. Die operative Datenbank umfasst bereits 14.700 kompromittierte FortiGate-Geräte global – ein beeindruckendes Arsenal. Hinzu kommen 969 validierte, per Brute-Force ermittelte VPN-Zugangsdaten, die für Anschläge einsatzbereit sind. Besonders tückisch: The Gentlemen nutzt auch fortgeschrittene Abwehrtechniken wie BYOVD (Bring Your Own Vulnerable Driver), um Sicherheitsprozesse auf Kernel-Ebene zu terminieren.
Citrix und BMC im Fadenkreuz
Die Exploitations-Aktivität gegen Citrix NetScaler beschleunigt sich dramatisch. Am 16. März 2026 registrierten Honeypot-Systeme über 500 Exploit-Versuche gegen die bekannten Lücken CVE-2025-5777 und CVE-2023-4966. Sicherheitsexperten warnen: Solche Spitzen bei älteren Schwachstellen könnten Zero-Day-Anschlägen vorangehen.
Parallel zeigen sich vier verkettbare Schwachstellen in BMC FootPrints (CVE-2025-71257 bis CVE-2025-71260), die pre-authentication Remote Code Execution ermöglichen. Ein Angreifer extrahiert zunächst ein Guest-Token aus dem Password-Reset-Endpoint, nutzt dann eine unsichere Java-Deserialisierung und schafft es schließlich, beliebige Dateien in das Tomcat-Webverzeichnis zu schreiben. Behoben wurde dies erst im September 2025 – ein langer Zeitraum der Verwundbarkeit.
Neue Malware und innovative Angriffsvektor
Proofpoint deckt eine neue Technik namens “CursorJack” auf, die das KI-Tool Cursor gefährdet. Über den abuse des Model Context Protocol (MCP) können Angreifer lokale Command Execution oder die Installation bösartiger MCP-Server ermöglichen – mit nur einem Klick und der Akzeptanz eines Install-Prompts.
Die Malware-Loader “Hijack Loader” verbreitet unterdessen das C++-basierte C2-Framework “SnappyClient” mit Keylogging, Screenshot-Funktionen, Browser-Datenklau und fortgeschrittenen Evasions-Techniken einschließlich AMSI-Bypass und Heaven’s Gate. Das primäre Ziel: Cryptocurrency-Raub.
Phishing per Microsoft Teams und LiveChat
Rapid7 dokumentiert einen Anstieg von Phishing-Kampagnen, bei denen Angreifer interne IT-Abteilungen über Microsoft Teams imitieren und Nutzer zur Aktivierung von Quick Assist verleiten – Tor zu Malware-Deployment und Datenweitergabe.
Noch kreativ: Eine neue Kampagne missbraucht LiveChat als Phishing-Vektor. Fake-Refund-Mails leiten Nutzer auf Chat-Interfaces weiter, wo Angreifer unter Fake-Branding sensible Daten wie Kreditkartennummern und MFA-Codes abfischen.
Das Hintergrund-Rauschen wird lauter
Die Gesamtstatistiken sind besorgniserregend: GitGuardian dokumentiert 28,6 Millionen neue Secrets in öffentlichen GitHub-Commits 2025 – ein 34-prozentiger Anstieg, hauptsächlich AI-Service-Secrets (+81%). VulnCheck zeigt: Nur 1% der 2025er CVEs wurden bis Jahresende in der Realität exploitiert, doch Netzwerk-Edge-Geräte machen ein Drittel aller ausgebeuteten Produkte aus.
Die Botschaft ist klar: Es sind nicht immer die großen, lauten Anschläge, die den meisten Schaden anrichten. Es ist das stille, kontinuierliche Druck-Aufbau in den Systemen, die Unternehmen unterschätzen.