Sicherheitsforscher haben eine neue Ransomware-Gruppe identifiziert, die Gentlemen Erpressungsangriffe gegen Organisationen in mehreren Regionen durchgeführt hat. Die Forscher berichteten von Aktivitäten in Verbindung mit der Gruppe in mindestens 17 Ländern in Nordamerika, Südamerika, der Asien-Pazifik-Region und dem Nahen Osten. Der Umfang der Kampagne deutet darauf hin, dass die Gruppe in großem Maßstab operiert und in der Lage ist, koordinierte Angriffe gegen eine Vielzahl von Zielen durchzuführen.
Die Gentlemen Gruppe tauchte erstmals Mitte 2025 auf und begann schnell, Opfer in mehreren Branchen zu fordern. Zu den gemeldeten Zielen zählen Organisationen in der Fertigung, im Bauwesen, im Gesundheitswesen und in der Versicherungsbranche. Analysten sagten, dass diese Sektoren oft auf kontinuierliche Systemverfügbarkeit angewiesen sind und sensible Daten verwalten, was sie für Ransomware-Betreiber attraktiv macht, die bei Erpressungsversuchen den Druck maximieren wollen.
Die Gruppe verwendet ein Doppel-Erpressungsmodell, das Dateiverschlüsselung mit Datendiebstahl kombiniert. Nachdem sie Zugang zu einem Netzwerk erhalten haben, verschlüsseln Angreifer kritische Systeme und exfiltrieren sensible Informationen. Die Opfer werden dann mit der öffentlichen Offenlegung der gestohlenen Daten bedroht, falls Zahlungsforderungen nicht erfüllt werden. Forscher sagten, dass dieser Ansatz die Verschuldung erhöht, indem er sowohl betriebliche Störungen als auch potenzielle rechtliche oder reputationsbedingte Konsequenzen verursacht.
Untersuchungen zu den Methoden der Gruppe deuten auf ein hohes Maß an technischer Kompetenz hin. Analysten beobachteten den Einsatz legitimer Systemtreiber, um Sicherheitskontrollen zu umgehen, sowie maßgeschneiderter Tools, die Schutzsoftware deaktivieren sollen. Die Angreifer führen außerdem eine detaillierte Aufklärung von Zielnetzwerken durch, bevor sie Ransomware einsetzen, sodass sie ihre Techniken an die Umgebung anpassen können, denen sie begegnen. Diese Flexibilität hat die Erkennung und Eindämmung der betroffenen Organisationen erschwert.
Es wird angenommen, dass die Operation Gentlemen ein Ransomware-as-a-Service-Modell verwendet. Unter dieser Struktur entwickeln und warten Kernbetreiber die Schadsoftware, während Partner Zugang zu Opfernetzwerken gewähren oder bei der Bereitstellung helfen. Im Gegenzug erhalten die Partner einen Anteil an den Lösegeldzahlungen. Forscher erklärten, dass dieses Modell eine schnelle Expansion ermöglicht, indem mehrere Akteure teilnehmen können, ohne dass sie ihre eigene Infrastruktur von Grund auf aufbauen müssen.
Opfer berichteten von erheblichen Störungen nach Angriffen, die der Gruppe zugeschrieben werden. Verschlüsselte Systeme haben Geschäftsabläufe gestoppt und Organisationen gezwungen, Dienste während der laufenden Wiederherstellungsarbeiten auszusetzen. In Fällen von Datendiebstahl sahen sich Organisationen zusätzlichen Risiken im Zusammenhang mit Datenexposition, regulatorischer Einhaltung und Vertrauensverlust ausgesetzt. Analysten sagten, dass selbst wenn die Systeme wiederhergestellt werden, die Gefahr von geleakten Daten bestehen bleiben kann.
Cybersicherheitsspezialisten erklärten, dass das Aufkommen von Gentlemen die anhaltenden Veränderungen in der Ransomware-Aktivität hervorhebt. Gruppen kombinieren zunehmend technische Raffinesse mit ausgefeilten Erpressungstaktiken, um die Erfolgsquoten zu verbessern. Experten rieten Organisationen, sich auf präventive Maßnahmen wie regelmäßige Offline-Backups, strenge Zugriffskontrollen und kontinuierliche Überwachung ungewöhnlicher Aktivitäten zu konzentrieren. Sie betonten außerdem die Bedeutung der Einsatzplanung, um Schäden im Falle eines Einbruchs zu begrenzen.
Forscher sagten, die Kampagne zeige, dass Ransomware weiterhin eine anhaltende und sich entwickelnde Bedrohung darstellt. Die Verbreitung neuer Gruppen spiegelt Gentlemen einen breiteren Trend wider, bei dem sich cyberkriminelle Operationen schnell anpassen und ausweiten, was nachhaltige Aufmerksamkeit von Organisationen aller Sektoren erfordert.