Die Ransomware-Bande Gentlemen erpresst den Rüstungskonzern Indra Group. Das Unternehmen bestätigt den Vorfall bei einer Tochtergesellschaft.
Die Cyberkriminellen der Gruppierung Gentlemen haben den spanischen Technologie- und Rüstungskonzern Indra Group auf ihrer Leak-Seite im Darknet gelistet. Die Angreifer setzten dem Unternehmen eine Frist von neun Tagen, um Verhandlungen aufzunehmen, andernfalls drohen sie mit der Veröffentlichung erbeuteter Daten. Lokale Medien berichten, dass Indra einen Ransomware-Angriff auf eine seiner Tochtergesellschaften bestätigt hat.
Das Unternehmen teilte mit, dass das interne Reaktionsteam für IT-Sicherheitsvorfälle sofort Protokolle zur Analyse und Sicherheitsüberprüfung aktiviert habe. Laut Konzernangaben konnte der Angriff lokal eingegrenzt werden, sodass das Risiko einer Ausbreitung auf andere Tochtergesellschaften ausgeschlossen wurde. Indra betonte in einer Stellungnahme, das Unternehmen habe „die Sicherheit und Kontinuität seiner Dienste garantiert“. Eine Untersuchung sowie eine Überprüfung der Sicherheitsverfahren dauern derzeit noch an.
Indra trat NATO als erstes spanisches Unternehmen bei
Die Indra Group mit Hauptsitz in Spanien zählt zu den größten europäischen Unternehmen in den Bereichen Verteidigung, Luft- und Raumfahrt sowie Technologie. Der Konzern liefert sicherheitskritische Systeme an Regierungen, Militärs und Betreiber kritischer Infrastrukturen weltweit. Zudem ist Indra das erste spanische Unternehmen, das der Cyber-Verteidigungskoalition der NATO beigetreten ist. Das Portfolio umfasst Identitätsmanagement, Cybersicherheitslösungen für Sektoren wie Energie und Finanzen sowie Technologie für das globale Flugverkehrsmanagement. Im Jahr 2025 weitete das Unternehmen seine Raumfahrtaktivitäten durch die Übernahme von rund 90 Prozent des spanischen Satellitenbetreibers Hispasat aus. Indra beschäftigt weltweit mehr als 62.000 Mitarbeiter und erwirtschaftet in über 140 Ländern einen Jahresumsatz von rund fünf Milliarden Euro.
Herkunft und Struktur der Erpressergruppe Gentlemen
Die Gruppierung Gentlemen arbeitet nach dem Modell Ransomware-as-a-Service, kurz RaaS. Dabei teilen die Betreiber der Schadsoftware ihre Einnahmen mit kriminellen Partnern, welche die digitale Infrastruktur für Angriffe nutzen. Ihren Ursprung hat die Bande in einer rund 20 Mitglieder umfassenden Fraktion namens ArmCorp, die zuvor als Partner für das Qilin-Ransomware-Programm agierte. Technische Analysen des Sicherheitsunternehmens Halcyon zeigen, dass die Abspaltung im Juli 2025 durch einen Streit über unbezahlte Provisionen in Höhe von rund 48.000 US-Dollar auszulöst wurde. Kurze Zeit später tauchten erste Schadcodesamples von Gentlemen auf, in denen die Adresse der eigenen Darknet-Leak-Seite bereits fest integriert war. Zu den am häufigsten angegriffenen Ländern der Gruppierung gehören Thailand, die USA, Frankreich und Brasilien.
(red)