In den letzten Monaten wurde wieder eine unangenehme Wahrheit enthüllt: das Ökosystem der Ransomware wurde professionalisiert, wie eine Industrie im Dienst der Kriminalität aussehen. Ein jüngstes und besonders markantes Beispiel ist die Operation namens The Gentlemen, ein Ransomware-ähnlicher Service (RaaS), der seit seinem Auftritt im Juli 2025 schnell und ausgereift ist, um groß zu bedienen.
Sicherheits-Ermittler haben erkannt, dass Akteure im Zusammenhang mit The Gentlemen versucht, einen bekannten bösartigen Proxy, genannt SystemBC. Die Firma Check Point Research fand heraus, dass der Befehls- und Steuerserver (C2) im Zusammenhang mit SystemBC ein Botnet entdecken konnte, das mehr als 1,570 Unternehmensnetzwerke beeinflusst. System BC ist keine einfache Hintertür: Es setzt SOCKS5-Tunnel innerhalb der kompromittierten Umgebung und kommuniziert mit seinem C2 über ein verschlüsseltes Protokoll mit RC4, sowie in der Lage, Nutzlasten herunterzuladen und auszuführen, die auf Festplatte geschrieben oder direkt in den Speicher eingespritzt werden können. Diese Angaben sind in der Analyse von Firmen und Industriepublikationen enthalten, einschließlich der öffentlichen Notizen von Sicherheitsherstellern. (Check Point Research)
Die Vielseitigkeit von The Gentlemen erklärt zum Teil ihre Expansion: Sie arbeitet unter einem doppelten Erpressungsschema und hat die Fähigkeit gezeigt, Windows, Linux, NAS und BSD Umgebungen zu beeinflussen. Seine Chiffre wird in Go entwickelt und die Gruppe verbindet legitime Werkzeuge - wie verfälschte Treiber - mit eigenen schädlichen Diensten, um Kontrollen zu umgehen. Die übliche Einbruchskette beginnt mit dem anfänglichen Zugang, der jetzt nicht vollständig geklärt ist: Alles deutet auf den Missbrauch von Dienstleistungen, die dem Internet ausgesetzt sind oder begangene Anmeldeinformationen. Von dort aus führen sie interne Erkennung, seitliche Bewegung, Inszenierung von Lasten wie Cobalt Strike oder SystemBC, Vermeidungstechniken und schließlich den Einsatz der Ransomware.
Ein gefährlich wirksames Merkmal ist die Nutzung von Domain-Richtlinienobjekten (GPO) zur Verbreitung von Skalenveränderungen in Unternehmensnetzwerken und ein massives Engagement in einem einzigen Schlag. Darüber hinaus hat die Forschung von anderen Lieferanten dokumentiert, wie die Gentlemen-Operatoren ihre Werkzeuge und Taktiken an die in jedem Opfer entdeckten Abwehrkräfte anpassen, was eine Phase der tiefen Anerkennung und Software-Änderungen zur Lösung spezifischer Sicherheitslösungen beinhaltet. (Trend Micro)
In dem von Check Point beobachteten Fall kontrollierte ein Tochterunternehmen SystemBC in einem engagierten Gastgeber und C2 in Verbindung mit diesem Proxy Hunderte von Opfern weltweit, mit berichteten Vorfällen in den Vereinigten Staaten, dem Vereinigten Königreich, Deutschland, Australien und Rumänien. Obwohl SystemBC seit 2020 in der Cyber-Kriminalitäts-Szene bekannt ist, ist es nicht klar, inwieweit es Teil des Standard-Skripts von The Gentlemen ist oder ob es von einem bestimmten Affiliate für Exfiltrations- und Fernzugriffsaufgaben in dieser Kampagne verwendet wurde.
Der Modus operandi während der lateralen Bewegung zeigt einen methodischen Ansatz zur Neutralisation von Verteidigungsabwehren: Die Angreifer drücken PowerShell-Skripte, die versuchen, den Echtzeit-Schutz von Windows Defender deaktivieren, umfangreiche Ausschlüsse für Festplatten und Prozesse hinzufügen, die Firewall ausschalten, SMBv1 reaktivieren und anonyme Zugriffskontrollen des LSA-Subsystems entspannen, alles bevor die Verschlüsselung binär in die Remote-Maschine eingesetzt wird. Diese Aktionen zeigen eine klare Absicht, den Boden für eine kontinuierliche Verschlüsselung möglichst sauber zu lassen.
Wenn das Opfer ein VMware ESXi-Server ist, wird die Ransomware-Variante in Funktionalitäten vereinfacht, aber es enthält spezifische Aktionen für virtualisierte Umgebungen: es schaltet virtuelle Maschinen aus, um Auswirkungen zu erleichtern, es bleibt durch geplante crontab-Typ Aufgaben und führt Schritte, um die Wiederherstellung vor der Verschlüsselung zu verhindern. Diese Spezialisierung zwischen Windows und ESXi-Varianten ist ein Trend, den wir zunehmend in Betreibern sehen, die Schäden an kritischer Infrastruktur maximieren möchten.
In den Worten eines der Forscher, die auf die operativen Server der Gruppe zugreifen, ist die kommerzielle Architektur der Herren Teil des Erfolgs: Sie haben es geschafft, Affiliate zu gewinnen, indem sie ihnen günstigere Bedingungen als Wettbewerb bieten, und was aus der internen Analyse entstand ein Netzwerk von mehr als 1,570 engagierten Unternehmensnetzwerken, die noch nicht auf den öffentlichen Listen der Opfer erschienen. Diese Figur deutet darauf hin, dass die tatsächliche Größe der Operation weit über das hinausgeht, was an der Oberfläche bekannt ist.
In der Zwischenzeit, andere Ransomware Schauspieler und Familien weiter entwickeln. Die Rapid7-Firma dokumentierte das Aussehen von Kyber, einer relativ neuen Familie, die im September 2025 veröffentlicht wurde und auf die Infrastruktur von Windows und VMware ESXi verweist. Kyber verwendet für die ESXi-Tacking-Variante Rust-geschriebene Chiffre für die Windows-Variante und C + für die ESXi-Tacking-Variante; letztere umfasst Datenverschlüsselungsfunktionen, optionale Fertigstellung virtueller Maschinen und sogar die Abgrenzung von Management-Schnittstellen, die einen Trend zur Plattform-Spezialisierung und nicht unnötige Komplexität zeigt. (Rapid7)
Die von mehreren Beobachtern hinzugefügten Daten zeigen, dass sich der Druck der Angriffe nicht auf: Nach Vorkommnungen wurden im ersten Quartal 2026 mindestens 2.059 Vorfälle von Ransomware und digitale Erpressung aufgezeichnet, mit März als Spitzenmonat und mehr als 700 Ereignisse. Zu den aktivsten Gruppen dieser Zeit gehörten Qilin, Akira, die Herren, INC Ransom und Cl0p. Ein markanter Aspekt im Fall der Herren ist die regionale Variation ihrer Opfer: Im Vorquartal variierte der Anteil der Ziele in Nordamerika deutlich, was mit den üblichen Mustern anderer digitaler Erpressungskollektive bricht. (ZeroFox)
Die breiteren Berichte über die Evolution der Ransomware zeigen eine Reifung des Phänomens: Es ist ein geschäftsorientierter krimineller Maschinen, mit gemeinsamen Lieferketten, Rollenspezialisierung und schnelle Regeneration nach polizeilichen Eingriffen geworden. Trends wie Versuche, Endpoint Detection and Response Lösungen zu streichen, die Wiederverwendung von gefährdeten Fahrern als Klettervektor (Bring Your Own Vulnerable Driver), die Diffusierung zwischen staatlichen und kriminellen Kampagnen und ein stärkerer Fokus auf KMU und betriebliche Technologieumgebungen wurden von Industrieanalysten beschrieben. Der Automobilsektor verdoppelte beispielsweise die Zahl der Vorfälle im Jahr 2025 und konzentrierte sich auf einen wesentlichen Teil der in diesem Bereich gemeldeten Vorfälle. (CISA)
Eine weitere besorgniserregende Tatsache ist, dass die Aufenthaltszeit des Angreifers in den Netzwerken (Wohnzeit) drastisch reduziert wurde: viele Intrusionen werden in Nächten und Wochenenden orchestriert und laufen, um Geschwindigkeit zu gewinnen und die Reaktionsfähigkeit des Sicherheitsteams zu subtrahieren. Ein hoher Prozentsatz der Versuche wird in Streifen gemacht, in denen die Überwachung schwächer ist, und einige Akteure wie Akira haben die Fähigkeit gezeigt, von der ersten Intrusion auf die vollständige Verschlüsselung innerhalb einer Stunde in bestimmten Szenarien zu klettern.
Angesichts dieses Szenarios ist die Empfehlung für Sicherheitsteams und IT-Beamte prospektiv und praktisch: die Exposition von Diensten im Internet zu verschärfen, die Multifaktor-Authentifizierung und die Rotation von Anmeldeinformationen anzuwenden, die Segmentnetze zu begrenzen, den Umfang der lateralen Bewegung zu überwachen und Änderungen in den GPOs einzuschränken, Offline und validierte Sicherung zu halten und im Wesentlichen schnelle Antwortstrategien zu haben, die Nacht- und Wochenenderkennung kontemplieren. Darüber hinaus ist es wichtig, die von offiziellen Agenturen und Sicherheitsanbietern veröffentlichten Leitfaden und Ressourcen zur Stärkung von Endpunkten und virtualisierten Umgebungen anzuwenden. (Microsoft Security)
Die Realität ist, dass wir mit Rivalen konfrontiert, die als Unternehmen arbeiten: Sie konkurrieren für Affiliate, Spezialisierung Werkzeuge nach dem Ziel und optimieren Prozesse, um maximale Schäden in kürzester Zeit zu verursachen. Die Kenntnis ihrer Taktiken und die Anwendung entsprechender Verteidigungen garantiert keine Immunität, aber es verringert die Oberfläche des Angriffs und die Wahrscheinlichkeit, das nächste Opfer in eine öffentliche Liste der Erpressung verteilt zu werden. Für diejenigen, die die öffentliche Forschung und Empfehlungen vertiefen wollen, bleiben die Berichte der Antwortteams und der Veröffentlichungen der Hersteller eine wesentliche Quelle der Intelligenz. (The Hacker News) Es bietet auch eine kontinuierliche Abdeckung, die Echtzeit-Ergebnisse und Updates synthetisiert.
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...
Gelbe Augen Der BitLocker Fehler, der es einem Angreifer ermöglichen könnte, Ihre Einheit mit nur physischem Zugriff zu entsperren
Microsoft hat eine Abschwächung für eine BitLocker Sicherheitslücke als bekannt als YellowKey (CVE-2026-45585) nachdem sein Konzepttest öffentlich ausgelaufen war und der koordi...