Zum Hauptinhalt springen

„The Gentlemen“ erweitern ihr Angriffsarsenal mit Backdoor und Windows-Ransomware

2. Juli 2026

Neue Go-Backdoor unterstützt Informationsbeschaffung und Systemkontrolle

  • Erstzugriff deutet auf Zusammenarbeit mit Initial Access Brokern hin
  • Neue Windows-Ransomware erweitert die Angriffsmöglichkeiten


Die Ransomware-as-a-Service (RaaS)-Gruppe „The Gentlemen“ hat ihre Angriffstaktiken um neue, speziell entwickelte Tools erweitert. Sie nutzt eine bislang unbekannte Backdoor zur Vorbereitung von Ransomware-Angriffen und hat eine neue Ransomware-Variante speziell für Windows entwickelt. Es gibt zudem Hinweise darauf, dass die Gruppe mit Initial Access Brokern (IABs) beim Erstzugriff auf Unternehmensnetzwerke zusammenarbeitet. „The Gentlemen“ ist weltweit aktiv und hat mehrere Branchen, darunter Fertigung, IT-Dienstleistungen, Gesundheitswesen, Finanzdienstleistungen, Bauwesen und Logistik, im Visier. Dies geht aus aktuellen Analysen des Global Research and Analysis Teams (GReAT) von Kaspersky [1] hervor.

Die schnell wachsende Gruppe „The Gentlemen“ operiert vermutlich seit Mitte 2025 und agiert nach dem Ransomware-as-a-Service-(RaaS)-Modell. Die Gruppe und ihre Partner machen sich hauptsächlich öffentlich zugängliche Internetdienste und kompromittierte Zugangsdaten zunutze, um sich Erstzugriff auf die Systeme ihrer Opfer zu verschaffen. Zudem könnten die Angreifer für einen einfachen Zugang zu Unternehmen mit wertvollem geistigem Eigentum mit sogenannten Initial Access Brokern (IABs) zusammenarbeiten. Laut Kaspersky-Analyse erfolgte bei einigen Betroffenen der Systemzugriff bereits lange vor der eigentlichen Ransomware-Infektion – unter Einsatz von Techniken, die die Gruppe üblicherweise nicht verwendet. Dies deutet darauf hin, dass der Erstzugriff von einem anderen Bedrohungsakteur, etwa einem IAB, erfolgte.

Maßgeschneiderte Backdoor und in C geschriebene Windows-Ransomware erweitern Angriffsmöglichkeiten

„The Gentlemen“ unterscheidet sich von vielen anderen RaaS-Gruppen durch ihre hohe technische Raffinesse, den Einsatz speziell entwickelter Tools und flexible Eindringtaktiken. Kaspersky identifizierte eine bislang unbekannte, maßgeschneidert entwickelte und in der Programmiersprache Go geschriebene Backdoor, die einen Tag vor der Ausführung der Ransomware installiert wurde. Das Implantat sammelt Host- und Netzwerkinformationen und verbirgt sein Konsolenfenster, um einer Entdeckung zu entgehen. Zu seinen Funktionen zählen die bidirektionale Kommunikation mit den Angreifern, die serverseitig gesteuerte Ausführung von Befehlen sowie Aufklärungsaktivitäten. Dadurch können die Angreifer ihre Aktivitäten innerhalb der kompromittierten Umgebung ausweiten und anpassen.

Eine begrenzte Zahl von Unternehmen war außerdem von einer in der Programmiersprache C geschriebenen Ransomware-Variante betroffen. Während „The Gentlemen“ bislang hauptsächlich ein in Go entwickeltes Ransomware-Implantat für den plattformübergreifenden Einsatz nutzte, scheint die neue C-basierte Variante auf Windows-Systeme ausgerichtet zu sein. Dies deutet darauf hin, dass die Gruppe ihr technisches Arsenal erweitert und die neue Malware bereits unter realen Bedingungen testet.

Zudem versuchten „The Gentlemen“ bei ihren Angriffen, die Sicherheitslösung von Kaspersky mithilfe der Datei „kavrmvr.exe“ zu entfernen – einem Tool zur Entfernung von Kaspersky-Produkten. Die Sicherheitslösung blieb jedoch aktiv, der Entfernungsversuch wurde blockiert und als schädlich eingestuft.

„Obwohl die Gruppe ‚The Gentlemen‘ erst seit relativ kurzer Zeit Teil der Ransomware-Landschaft ist, macht sie sich unter Cyberkriminellen rasch einen Namen, gewinnt Partner und führt hochkarätige Angriffe durch“, kommentiert Fatih Sensoy, Sicherheitsexperte im Global Research and Analysis Team (GReAT) bei Kaspersky. „Das Testen neuer C-basierter Ransomware-Varianten deutet darauf hin, dass die Gruppe ihre Fähigkeiten aktiv weiterentwickelt. Dies könnte in naher Zukunft zu stabileren und besser skalierbaren Angriffsketten führen. Unternehmen sollten mit weiteren schädlichen Ransomware-Aktivitäten rechnen und dringend ihr Schwachstellenmanagement und ihre Systemhärtung priorisieren, um das Risiko einer Kompromittierung zu reduzieren.“

Kaspersky-Empfehlungen zum Schutz vor Ransomware

  • Software auf allen Endgeräten aktuell halten, um zu verhindern, dass Angreifer bekannte Schwachstellen ausnutzen und in Unternehmensnetzwerke eindringen.
  • Die eigene Cybersicherheitsstrategie auf die Erkennung lateraler Bewegungen sowie Exfiltration von Daten ausrichten.
  • Den ausgehenden Netzwerkverkehr kontinuierlich überwachen, um verdächtige Verbindungen frühzeitig zu erkennen.
  • Offline-Backups erstellen, die vor Manipulation durch Angreifer geschützt sind und im Notfall schnell wiederhergestellt werden können.
  • Anti-APT- und Endpoint-Detection-and-Response (EDR)-Lösungen einsetzen, um Angriffe frühzeitig zu identifizieren, zu untersuchen und Sicherheitsvorfälle zeitnah zu beheben. Darüber hinaus sollten Security Operations Center (SOC) Zugriff auf aktuelle Threat Intelligence erhalten und ihre Kompetenzen durch regelmäßige Schulungen ausbauen. All diese Funktionen bietet beispielsweise Kaspersky Next [2].

Weitere Informationen zu den Aktivitäten von „The Gentlemen“ sind verfügbar unter: https://securelist.com/the-gentlemen-raas/120447/

 

[1] https://securelist.com/the-gentlemen-raas/120447/

[2] https://www.kaspersky.de/next


Nützliche Links:

 

 

„The Gentlemen“ erweitern ihr Angriffsarsenal mit Backdoor und Windows-Ransomware

Neue Go-Backdoor unterstützt Informationsbeschaffung und Systemkontrolle
Kaspersky logo

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Kaspersky revolutioniert die Branche mit seinem Sicherheitsansatz auf Basis des Prinzips der Cyberimmunität und schützt Verbraucher, Unternehmen, kritische Infrastrukturen und Behörden vor Cyberbedrohungen, mit bis heute über einer Milliarde geschützter Geräte.

Kaspersky sorgt für Cybersecurity True to Business und konzentriert sich auf die Bereitstellung klarer Ergebnisse, den Schutz des Umsatzes, Reduzierung der Arbeitsbelastung und Vermeidung von Ausfallzeiten. Kasperskys umfassendes Know-how im Bereich Threat Intelligence und Sicherheit fließt ständig in innovative Lösungen und Dienste für Unternehmen jeder Größe ein, von kleinen bis hin zu Großunternehmen, die bewährte KI-gesteuerte Schutztechnologien mit einfacher Verwaltung und fachkundigem Support kombinieren.

Kaspersky wurde in unabhängigen Tests ausgezeichnet und wird von Millionen von Menschen weltweit sowie fast 200.000 Unternehmen als vertrauenswürdig eingestuft. Kaspersky hilft dabei, Bedrohungen früher zu erkennen, schneller zu reagieren und mit größerer Sicherheit und Freiheit zu arbeiten, und schützt so, was für unsere Kunden am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Verwandter Artikel Pressemitteilungen