The Gentlemen ist eine Mitte 2025 aufgetauchte Ransomware-as-a-Service-Gruppe, die extrem schnell gewachsen ist und – anders als viele US-fokussierte Gruppen – überdurchschnittlich Europa und den DACH-Raum trifft (Deutschland zählt zu den Top-Zielländern). Sie setzt auf selbstverbreitende, plattformübergreifende Verschlüsselung und maßgeschneiderte EDR-Killer.
Aktiv
RaaS (affiliate-freundlich ~90/10)
The Gentlemen; Betreiber-Handles zeta88, hastalamuerte
Mitte 2025 (erste Leak-Site-Opfer Sep. 2025)
Kein bestätigter Vorgänger; erfahrene Betreiber vermutet
Russischsprachige Betreiber (Herkunftsland unbestätigt)
Fertigung, IT-/Business-Services, Technologie, Gesundheitswesen, Bau, Versicherung, Finanzwesen
Global (77 Länder); Deutschland Top-4/5, auch AT/CH; nur ~7 % USA
variabel (Beispiel: ~250.000 USD gefordert, auf ~190.000 verhandelt)
~559 gelistete Opfer (Juli 2026); ein SystemBC-C2 offenbarte 1.570+ kompromittierte Organisationen
zufällige 6-Zeichen-Endung je Build (z. B. .7mtzhh); interner Marker „gentlemen_system“
README-GENTLEMEN.txt (Wallpaper gentlemen.bmp)
Sprache: Go (Windows/Linux/NAS/BSD), separater C-Build für ESXi.
Verschlüsselung: XChaCha20 + Curve25519 (X25519), pro Datei ephemerer Schlüssel.
Plattformen: Windows, Linux, ESXi, NAS, BSD – selbstverbreitend über GPO und Netzwerkfreigaben.
Angriffsflächen-Management schließt Edge-/VPN-Lücken; verhaltensbasierte 24/7-Erkennung im Cyber Defense Center fängt EDR-Killer und laterale GPO-Verbreitung.