Thought Leadership
Ein Datenleck bei der Ransomware-Gruppe The Gentlemen offenbart deren Strukturen. Die Hacker nutzten KI-Modelle wie DeepSeek für ihre Infrastruktur.
Die Sicherheitsforschungsabteilung Check Point Research hat umfassende interne Datensätze der Ransomware-Gruppe namens The Gentlemen ausgewertet. Die Daten wurden nach einer erfolgreichen Kompromittierung der kriminellen IT-Infrastruktur am 4. Mai 2026 im Internet öffentlich zugänglich. Der Administrator der Erpressergruppe bestätigte den Vorfall, bei dem die gesamte Backend-Datenbank entwendet wurde. Als Ursache wird eine technische Schwachstelle beim verwendeten Hosting-Anbieter 4VPS vermutet.
Die Analyse dieser geleakten Daten gewährt der IT-Sicherheitsbranche seltene Einblicke in die internen Organisationsstrukturen, die operativen Abläufe sowie die eingesetzten Software-Technologien einer der weltweit aktivsten Ransomware-as-a-Service-Operationen des laufenden Jahres. Die Gruppe wird im globalen Ökosystem der Cyberkriminalität derzeit als zweite Kraft eingestuft und hat im Jahr 2026 bereits über 400 Opfer auf ihren Erpressungsplattformen namentlich gelistet. Die gewonnenen Erkenntnisse wurden von den Analysten an internationale Strafverfolgungsbehörden übergeben.
The Gentlemen: Kleine Betreiberstruktur mit hoher Umsatzbeteiligung
Die Auswertung der internen Chat-Protokolle offenbart, dass die gesamte weltweite Operation von einer vergleichsweise kleinen, aber hochgradig professionalisierten Kerngruppe betrieben wird. Demnach besteht die administrative Organisation aus rund neun namentlich identifizierbaren Hauptakteuren. Die Führung liegt bei einem einzelnen Administrator, der unter den digitalen Decknamen zeta88 beziehungsweise hastalamuerte agiert. Dieser Akteur zeichnet für die Entwicklung der Verschlüsselungssoftware verantwortlich, verwaltet das administrative Panel, koordiniert die Angriffe und steuert die finanziellen Auszahlungen.
Aus den Protokollen geht hervor, dass der Administrator zudem aktiv an den eigentlichen Verschlüsselungsvorgängen in den Opfernervorrichtungen teilnimmt. Ermittler identifizierten den Administrator als ehemaligen Partner der etablierten Qilin-Ransomware-Gruppe. Er nutzte die dort gewonnenen praktischen Erfahrungen, um eine eigene Konkurrenzplattform aufzubauen. Um erfahrene Angreifer von anderen Gruppierungen abzuwerben, bietet das Netzwerk eine überdurchschnittliche Umsatzbeteiligung. Die Partner erhalten 90 Prozent der erpressten Lösegelder, während lediglich 10 Prozent an die Infrastrukturbetreiber fließen. Der übliche Branchenstandard liegt typischerweise bei einer Aufteilung von 80 zu 20.
Effizienzsteigerung durch chinesische Programmierassistenten
Ein bemerkenswerter Aspekt der Analyse betrifft den gezielten Einsatz moderner Technologien der künstlichen Intelligenz bei der Software-Entwicklung der Gruppe. Der Administrator verwendet für die Erstellung der kriminellen Administrationsplattform automatisierte KI-Coding-Assistenten. Den Daten zufolge griff er dabei primär auf die chinesischen Sprachmodelle DeepSeek und Qwen zurück. Mithilfe dieser KI-Infrastruktur gelang es der Gruppe, das vollständige Verwaltungsportal für das Partnerprogramm innerhalb von nur drei Tagen zu programmieren und einsatzbereit zu machen. Dieser Befund verdeutlicht, dass generative KI-Modelle im Bereich der Cyberkriminalität als erhebliche Entwicklungsbeschleuniger eingesetzt werden, um administrative Software-Infrastrukturen mit minimalem Zeit- und Personalaufwand zu realisieren.
Ausnutzung von Sicherheitslücken in Netzwerk-Appliances
Als primäres Einfallstor für die Angriffe dienen im Internet exponierte Netzwerkgeräte, Firewalls und virtuelle private Netzwerke, die nicht mit aktuellen Sicherheitsupdates versorgt wurden. Die Gruppe nutzt gezielt bekannte Schwachstellen wie CVE-2024-55591 und CVE-2025-32433 aus. Zudem erwerben die Akteure gültige Zugangsinformationen von spezialisierten Datenmaklern oder nutzen kompromittierte Zugangsdaten, die über Schadsoftware auf den Endgeräten von Mitarbeitern abgegriffen und auf Untergrundmärkten gehandelt wurden. Nach dem ersten Eindringen in ein Unternehmensnetzwerk erfolgt der weitere Angriff in hoher Geschwindigkeit.
Die Angreifer führen eine umfassende Analyse des Microsoft Active Directory durch und nutzen Relaying-Angriffe auf das Netzwerkprotokoll NTLM, um administrative Privilegien zu erlangen. Bestehende Endpoint-Detection-and-Response-Systeme werden gezielt deaktiviert. Für die Bewegung innerhalb des Netzwerks verwenden die Hacker legitime administrative Werkzeuge, um nicht durch Sicherheitsfilter aufzufallen. Durch das Auslesen von Browser-Sitzungen korrumpieren sie zudem Identitätsdienste wie Microsoft 365 und Okta, extrahieren sensible Unternehmensdaten und verteilen die Ransomware schließlich automatisiert über die zentralen Gruppenrichtlinien der Windows-Domäne.
Dokumentierte Kettenangriffe über IT-Dienstleister
Die geleakten Daten dokumentieren zudem die wachsende Gefahr von Angriffen über die softwareseitige Lieferkette. Im April 2026 infiltrierten die Hacker ein britisches Software-Beratungsunternehmen. Bei diesem Einbruch erbeuteten die Angreifer interne Infrastrukturdokumentationen, Zugangsdaten und dedizierte Kundeninformationen. Diese gestohlenen Daten dienten im Anschluss als direktes Sprungbrett für einen erfolgreichen Folgeangriff auf ein Kundenunternehmen des Dienstleisters in der Türkei.
Während das betroffene britische Beratungsunternehmen nach außen hin öffentlich erklärte, dass lediglich routinemäßige Geschäftsdaten kompromittiert worden seien, belegen die internen Chat-Protokolle der Ransomware-Gruppe den direkten Missbrauch der Kundendaten für die sekundäre Erpressung. Dies unterstreicht die Notwendigkeit, dass von Dienstleistern verwaltete Fremddaten denselben strengen Sicherheitsanforderungen unterliegen müssen wie die eigenen Kernsysteme.
Technische Maßnahmen zur Absicherung von Unternehmensnetzwerken
Aus den Erkenntnissen der Analyse leiten die Sicherheitsexperten konkrete Handlungsempfehlungen für Systemadministratoren ab. Die Absicherung von Edge-Geräten und Fernzugriffen muss höchste Priorität erhalten, wobei die genannten Sicherheitslücken in VPNs und Gateways umgehend geschlossen werden müssen. Da herkömmliche Mehr-Faktor-Authentifizierungen durch das Diebstahlrisiko von Browser-Sitzungen umgangen werden können, ist eine kontinuierliche Überwachung auf anomale Anmeldemuster in Identitätssystemen zwingend erforderlich. Das Active Directory muss durch regelmäßige Sicherheitsaudits gegen NTLM-Relay-Angriffe geschützt werden.
Da eine Eindämmung nach der Aktivierung der Verschlüsselungssoftware kaum möglich ist, müssen Erkennungsmechanismen auf die frühe Phase der lateralen Bewegung im Netzwerk fokussiert werden. Zudem müssen Datensicherungen auf Netzwerkspeichern strikt von der Windows-Domäne isoliert sowie unveränderbare Offline-Backups implementiert werden, um eine gezielte Löschung der Sicherungssysteme durch die Angreifer zu verhindern.
