Eine Ransomware-Gruppe namens The Gentlemen, die vor einem Jahr noch gar nicht existierte, hat sich an die Spitze der Bedrohungslandschaft gesetzt. Gleichzeitig steigen die Cyberangriffe auf deutsche Unternehmen deutlich.
The Gentlemen heißt die Gruppe, die im Juni 2026 laut Check Point zur aktivsten Ransomware Gruppe weltweit aufgestiegen ist. Mit 17 Prozent aller bekannt gewordenen Angriffe löste sie den bisherigen Spitzenreiter Qilin ab, der nur noch auf 11 Prozent kam.
Gegründet wurde die Gruppe Mitte 2025 von einem russischsprachigen Akteur, der zuvor als Affiliate bei Qilin und LockBit aktiv war. Sie arbeitet nach dem Ransomware-as-a Service-Modell, stellt Angreifern also Schadsoftware und Infrastruktur gegen Gewinnbeteiligung zur Verfügung. Zusätzlich tritt sie als Access Broker auf und verschafft Affiliates Zugriff auf rund 14.000 bereits kompromittierte FortiGate Geräte, ein möglicher Grund, warum die Gruppe binnen weniger Monate mehr als 320 Opfer gelistet hat.
Patrick Fetter von Check Point bringt es auf den Punkt: „Das beweist wieder einmal, wie schnell neue Akteure in dieser Schattenwirtschaft Fuß fassen.“
Bekannt wurde The Gentlemen vor allem durch ihre doppelte Erpressungstaktik: Die Gruppe verschlüsselt nicht nur die Systeme ihrer Opfer, sondern droht zusätzlich mit der Veröffentlichung zuvor gestohlener Daten, sollte kein Lösegeld gezahlt werden. Ins Visier geraten dabei vor allem größere Unternehmen aus Branchen mit sensiblen Datenbeständen. Ihren Ruf als besonders aggressiver Akteur verdankt die Gruppe zudem der hohen Schlagzahl an Opfern, die sie binnen kürzester Zeit öffentlich gelistet hat, sowie dem Zugriff auf bereits vorbereitete Einstiegspunkte in fremde Netzwerke.
Auf der Opferliste der Gruppe stehen mittlerweile mehrere hundert Organisationen aus über 60 Ländern und mehr als 20 Branchen, mit Schwerpunkt auf Fertigung, Gesundheitswesen und Finanzdienstleistungen. Namentlich gelistet wurden unter anderem der chinesische Industriezulieferer Dongguan HYX Industrial, der Finanzdienstleister Rogers Capital sowie die Warka Bank for Investment and Finance. In einem weiteren Fall reklamierte die Gruppe den Diebstahl von 1,5 Terabyte Daten bei einem Unternehmen namens Solumek für sich.
Beim technischen Vorgehen setzt The Gentlemen kaum auf klassisches Phishing, sondern zielt gezielt auf internetseitig erreichbare Netzwerkgeräte, allen voran Fortinet FortiGate Firewalls. Über eine bekannte Schwachstelle in FortiOS verschaffen sich Affiliates Zugang, oft mithilfe einer eigenen Datenbank bereits kompromittierter oder per Brute Force geknackter VPN Zugänge. Anschließend wird tagelang das Active Directory ausgekundschaftet, Sicherheitssoftware deaktiviert und Daten abgezogen, bevor am Ende die Verschlüsselung über eine Gruppenrichtlinie im gesamten Netzwerk ausgerollt wird. Die Ransomware selbst läuft plattformübergreifend unter Windows, Linux und ESXi, verschlüsselt mit den Verfahren XChaCha20 und Curve25519 und kann sich in einem Wurm Modus auch eigenständig auf weitere Systeme im Netzwerk ausbreiten.
Steckbrief: The Gentlemen
| Gegründet | Mitte 2025 |
| Gründer | russischsprachiger Akteur, zuvor Affiliate bei Qilin und LockBit |
| Modell | Ransomware as a Service (RaaS) und Access Broker |
| Vorgehen | Datenverschlüsselung kombiniert mit Erpressung durch Veröffentlichungsdrohung |
| Zugang | rund 14.000 kompromittierte FortiGate Geräte |
| Bekannte Opfer | über 320 öffentlich gelistet |
| Anteil an Ransomware Angriffen Juni 2026 | 17 Prozent, Platz 1 weltweit |
Auf Platz drei folgt LockBit, das seinen Anteil von einem Prozent im Mai auf sieben Prozent im Juni steigerte. Zusammen kommen die drei größten Gruppen auf 35 Prozent aller registrierten Angriffe. Insgesamt zählte Check Point im Juni 646 öffentlich gemeldete Ransomware Angriffe, ein Plus von 33 Prozent gegenüber dem Vorjahr, ermittelt über die Leak-Seiten der Erpressergruppen. Am stärksten betroffen war der Bereich Unternehmensdienstleistungen mit 31 Prozent aller Opfer, gefolgt von Konsumgütern und Dienstleistungen sowie industrieller Fertigung. Nordamerika verzeichnete mit 44 Prozent den größten Anteil, APAC überholte mit 23 Prozent erstmals Europa mit 22 Prozent.
Auch Deutschland trifft es deutlich härter
Hiesige Unternehmen registrierten im Juni im Schnitt 1659 Cyberangriffe pro Woche, ein Plus von 35 Prozent gegenüber dem Vorjahr und von 21 Prozent gegenüber Mai. Die Zahlen seien „aufrüttelnd“, kommentiert Fetter den deutschen Trend. Damit liegt Deutschland zwar unter dem europäischen Durchschnitt von 2003 Angriffen, der Zuwachs fällt aber überdurchschnittlich hoch aus. Österreich kam auf 2243 Angriffe, ein Plus von 37 Prozent, die Schweiz verzeichnete mit 44 Prozent den stärksten Anstieg im DACH Raum.

Global lag der Schnitt bei 2270 Angriffen pro Woche, zehn Prozent mehr als im Mai und 17 Prozent mehr als im Vorjahr. Die Zunahme zog sich über nahezu alle Regionen und Branchen. Bildung bleibt mit 4816 Angriffen pro Woche weltweit die am stärksten betroffene Branche, vor Regierung und Telekommunikation. Deutliche Zuwächse gab es auch bei Non-Profit-Organisationen, Energieversorgern und in der Landwirtschaft. In Deutschland führen Energie und Bildung weiterhin das Ranking an, neu dabei sind Software und Telekommunikation.
KI Nutzung im Unternehmen bleibt ein Risiko
Jeder 26. GenAI Prompt barg im Juni ein hohes Risiko, sensible Daten preiszugeben, das entspricht einer Expositionsrate von 3,9 Prozent. 85 Prozent der Unternehmen mit regelmäßiger GenAI Nutzung waren betroffen, weitere 27 Prozent der Prompts enthielten potenziell sensible Informationen. Am höchsten ist das Risiko im Gesundheitswesen mit 5,7 Prozent, vor Telekommunikation und Unternehmensdienstleistungen mit je 5,1 Prozent. Den größten Anteil der preisgegebenen Inhalte machen mit 80 Prozent personenbezogene Daten aus.
Unternehmen seien dem aber nicht schutzlos ausgeliefert, betont Fetter. Mit einem präventiven, KI gestützten Sicherheitsansatz ließen sich auch unbekannte Angriffe neutralisieren, bevor Schlimmeres geschehe.
(red/Check Point)