Hacker-Szene aktuell

The Gentlemen: So tickt die neue Nummer 1 unter den Hackern

Schachfigur digital

Eine Ransomware-Gruppe namens The Gentlemen, die vor einem Jahr noch gar nicht existierte, hat sich an die Spitze der Bedrohungslandschaft gesetzt. Gleichzeitig steigen die Cyberangriffe auf deutsche Unternehmen deutlich.

The Gentlemen heißt die Gruppe, die im Juni 2026 laut Check Point zur aktivsten Ransomware Gruppe weltweit aufgestiegen ist. Mit 17 Prozent aller bekannt gewordenen Angriffe löste sie den bisherigen Spitzenreiter Qilin ab, der nur noch auf 11 Prozent kam.

Anzeige

Gegründet wurde die Gruppe Mitte 2025 von einem russischsprachigen Akteur, der zuvor als Affiliate bei Qilin und LockBit aktiv war. Sie arbeitet nach dem Ransomware-as-a Service-Modell, stellt Angreifern also Schadsoftware und Infrastruktur gegen Gewinnbeteiligung zur Verfügung. Zusätzlich tritt sie als Access Broker auf und verschafft Affiliates Zugriff auf rund 14.000 bereits kompromittierte FortiGate Geräte, ein möglicher Grund, warum die Gruppe binnen weniger Monate mehr als 320 Opfer gelistet hat.

Patrick Fetter von Check Point bringt es auf den Punkt: „Das beweist wieder einmal, wie schnell neue Akteure in dieser Schattenwirtschaft Fuß fassen.“

Bekannt wurde The Gentlemen vor allem durch ihre doppelte Erpressungstaktik: Die Gruppe verschlüsselt nicht nur die Systeme ihrer Opfer, sondern droht zusätzlich mit der Veröffentlichung zuvor gestohlener Daten, sollte kein Lösegeld gezahlt werden. Ins Visier geraten dabei vor allem größere Unternehmen aus Branchen mit sensiblen Datenbeständen. Ihren Ruf als besonders aggressiver Akteur verdankt die Gruppe zudem der hohen Schlagzahl an Opfern, die sie binnen kürzester Zeit öffentlich gelistet hat, sowie dem Zugriff auf bereits vorbereitete Einstiegspunkte in fremde Netzwerke.

Anzeige

Auf der Opferliste der Gruppe stehen mittlerweile mehrere hundert Organisationen aus über 60 Ländern und mehr als 20 Branchen, mit Schwerpunkt auf Fertigung, Gesundheitswesen und Finanzdienstleistungen. Namentlich gelistet wurden unter anderem der chinesische Industriezulieferer Dongguan HYX Industrial, der Finanzdienstleister Rogers Capital sowie die Warka Bank for Investment and Finance. In einem weiteren Fall reklamierte die Gruppe den Diebstahl von 1,5 Terabyte Daten bei einem Unternehmen namens Solumek für sich.

Beim technischen Vorgehen setzt The Gentlemen kaum auf klassisches Phishing, sondern zielt gezielt auf internetseitig erreichbare Netzwerkgeräte, allen voran Fortinet FortiGate Firewalls. Über eine bekannte Schwachstelle in FortiOS verschaffen sich Affiliates Zugang, oft mithilfe einer eigenen Datenbank bereits kompromittierter oder per Brute Force geknackter VPN Zugänge. Anschließend wird tagelang das Active Directory ausgekundschaftet, Sicherheitssoftware deaktiviert und Daten abgezogen, bevor am Ende die Verschlüsselung über eine Gruppenrichtlinie im gesamten Netzwerk ausgerollt wird. Die Ransomware selbst läuft plattformübergreifend unter Windows, Linux und ESXi, verschlüsselt mit den Verfahren XChaCha20 und Curve25519 und kann sich in einem Wurm Modus auch eigenständig auf weitere Systeme im Netzwerk ausbreiten.

Steckbrief: The Gentlemen

GegründetMitte 2025
Gründerrussischsprachiger Akteur, zuvor Affiliate bei Qilin und LockBit
ModellRansomware as a Service (RaaS) und Access Broker
VorgehenDatenverschlüsselung kombiniert mit Erpressung durch Veröffentlichungsdrohung
Zugangrund 14.000 kompromittierte FortiGate Geräte
Bekannte Opferüber 320 öffentlich gelistet
Anteil an Ransomware Angriffen Juni 202617 Prozent, Platz 1 weltweit


Auf Platz drei folgt LockBit, das seinen Anteil von einem Prozent im Mai auf sieben Prozent im Juni steigerte. Zusammen kommen die drei größten Gruppen auf 35 Prozent aller registrierten Angriffe. Insgesamt zählte Check Point im Juni 646 öffentlich gemeldete Ransomware Angriffe, ein Plus von 33 Prozent gegenüber dem Vorjahr, ermittelt über die Leak-Seiten der Erpressergruppen. Am stärksten betroffen war der Bereich Unternehmensdienstleistungen mit 31 Prozent aller Opfer, gefolgt von Konsumgütern und Dienstleistungen sowie industrieller Fertigung. Nordamerika verzeichnete mit 44 Prozent den größten Anteil, APAC überholte mit 23 Prozent erstmals Europa mit 22 Prozent.

Auch Deutschland trifft es deutlich härter

Hiesige Unternehmen registrierten im Juni im Schnitt 1659 Cyberangriffe pro Woche, ein Plus von 35 Prozent gegenüber dem Vorjahr und von 21 Prozent gegenüber Mai. Die Zahlen seien „aufrüttelnd“, kommentiert Fetter den deutschen Trend. Damit liegt Deutschland zwar unter dem europäischen Durchschnitt von 2003 Angriffen, der Zuwachs fällt aber überdurchschnittlich hoch aus. Österreich kam auf 2243 Angriffe, ein Plus von 37 Prozent, die Schweiz verzeichnete mit 44 Prozent den stärksten Anstieg im DACH Raum.

Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe
Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im Juni 2026 verglichen mit Juni 2025. Bildquelle: Check Point

Global lag der Schnitt bei 2270 Angriffen pro Woche, zehn Prozent mehr als im Mai und 17 Prozent mehr als im Vorjahr. Die Zunahme zog sich über nahezu alle Regionen und Branchen. Bildung bleibt mit 4816 Angriffen pro Woche weltweit die am stärksten betroffene Branche, vor Regierung und Telekommunikation. Deutliche Zuwächse gab es auch bei Non-Profit-Organisationen, Energieversorgern und in der Landwirtschaft. In Deutschland führen Energie und Bildung weiterhin das Ranking an, neu dabei sind Software und Telekommunikation.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

KI Nutzung im Unternehmen bleibt ein Risiko

Jeder 26. GenAI Prompt barg im Juni ein hohes Risiko, sensible Daten preiszugeben, das entspricht einer Expositionsrate von 3,9 Prozent. 85 Prozent der Unternehmen mit regelmäßiger GenAI Nutzung waren betroffen, weitere 27 Prozent der Prompts enthielten potenziell sensible Informationen. Am höchsten ist das Risiko im Gesundheitswesen mit 5,7 Prozent, vor Telekommunikation und Unternehmensdienstleistungen mit je 5,1 Prozent. Den größten Anteil der preisgegebenen Inhalte machen mit 80 Prozent personenbezogene Daten aus.

Unternehmen seien dem aber nicht schutzlos ausgeliefert, betont Fetter. Mit einem präventiven, KI gestützten Sicherheitsansatz ließen sich auch unbekannte Angriffe neutralisieren, bevor Schlimmeres geschehe.

(red/Check Point)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.