Threat Intelligence

The Gentlemen

Von null auf über 500 Opfer in unter einem Jahr – The Gentlemen zählt zu den am schnellsten wachsenden RaaS-Operationen und trifft überdurchschnittlich oft DACH-Unternehmen.

Kurz erklärt

The Gentlemen ist eine Mitte 2025 aufgetauchte Ransomware-as-a-Service-Gruppe, die extrem schnell gewachsen ist und – anders als viele US-fokussierte Gruppen – überdurchschnittlich Europa und den DACH-Raum trifft (Deutschland zählt zu den Top-Zielländern). Sie setzt auf selbstverbreitende, plattformübergreifende Verschlüsselung und maßgeschneiderte EDR-Killer.

Aktiv

Modell

RaaS (affiliate-freundlich ~90/10)

Auch bekannt als

The Gentlemen; Betreiber-Handles zeta88, hastalamuerte

Gegründet

Mitte 2025 (erste Leak-Site-Opfer Sep. 2025)

Entstanden aus

Kein bestätigter Vorgänger; erfahrene Betreiber vermutet

Herkunft

Russischsprachige Betreiber (Herkunftsland unbestätigt)

Zielsektoren

Fertigung, IT-/Business-Services, Technologie, Gesundheitswesen, Bau, Versicherung, Finanzwesen

Zielregionen

Global (77 Länder); Deutschland Top-4/5, auch AT/CH; nur ~7 % USA

Typisches Lösegeld

variabel (Beispiel: ~250.000 USD gefordert, auf ~190.000 verhandelt)

Opferzahl

~559 gelistete Opfer (Juli 2026); ein SystemBC-C2 offenbarte 1.570+ kompromittierte Organisationen

File Extensions

zufällige 6-Zeichen-Endung je Build (z. B. .7mtzhh); interner Marker „gentlemen_system“

Ransom Note

README-GENTLEMEN.txt (Wallpaper gentlemen.bmp)

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme vom Netz isolieren, aber nicht ausschalten – flüchtige Spuren im Arbeitsspeicher bleiben so erhalten.
  • Fortinet-/Cisco-Edge- und VPN-Geräte sofort prüfen/patchen – Hauptvektor; GPO auf unautorisierte Änderungen prüfen (Selbstverbreitung).
  • Backups sofort prüfen und offline/schreibgeschützt sichern.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht vorschnell Lösegeld zahlen – keine Garantie für Entschlüsselung oder Nicht-Veröffentlichung; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • Edge-/VPN-Geräte nicht ungepatcht lassen; EDR nicht ohne Manipulationsschutz betreiben.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Keine dubiosen „Entschlüsselungs-Tools“ aus dem Netz einsetzen.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • OT-lastige Ziele in 15+ Ländern (Aug. 2025, Trend Micro)
  • SystemBC-Affiliate-Operation mit 1.570+ Opfern (2026, Check Point)
  • Leak des eigenen Backends „Rocket“ (Mai 2026) – 14.700 ausgenutzte FortiGate-Geräte

Angriffstechniken (TTPs)

  • Initial Access: Exploit von Fortinet-/Cisco-Edge- und VPN-Geräten, gekaufte Zugänge (IABs), Infostealer-Logs.
    • CVE-2024-55591 (FortiOS Auth-Bypass, Hauptvektor), CVE-2025-32433 (Erlang/OTP SSH RCE), CVE-2025-33073 (SMB/NTLM)
    • MITRE: T1190, T1133, T1078, T1484.001, T1562.001
  • Verbreitung: GPO-basierte Selbstverbreitung (wurm-artig), EDR-Killer Allpatch2.exe, BYOVD, Ereignisprotokolle löschen.

Technologie & Malware

Sprache: Go (Windows/Linux/NAS/BSD), separater C-Build für ESXi.

Verschlüsselung: XChaCha20 + Curve25519 (X25519), pro Datei ephemerer Schlüssel.

Plattformen: Windows, Linux, ESXi, NAS, BSD – selbstverbreitend über GPO und Netzwerkfreigaben.

Indicators of Compromise (IOCs)

  • Ransom Note: README-GENTLEMEN.txt; Wallpaper gentlemen.bmp; Marker gentlemen_system
  • Endung: zufällig 6 Zeichen (z. B. .7mtzhh)
  • Tools: Allpatch2.exe (EDR-Killer), PowerRun.exe, gogo.exe, NetExec, SystemBC
  • Ausgenutzte CVEs: CVE-2024-55591, CVE-2025-32433, CVE-2025-33073

Was Unternehmen jetzt prüfen sollten

  • Fortinet-/Cisco-Edge- und VPN-Geräte aktuell halten – Hauptvektor
  • Manipulationsschutz (Tamper Protection) für EDR aktivieren
  • GPO-Änderungen überwachen (Selbstverbreitung)
  • Offline-Backups und Segmentierung

Wie Argos unterstützt

Angriffsflächen-Management schließt Edge-/VPN-Lücken; verhaltensbasierte 24/7-Erkennung im Cyber Defense Center fängt EDR-Killer und laterale GPO-Verbreitung.