Gentlemen Ransomware
Untersuchungen zur Operation „The Gentlemen“ zeigen, dass die finanziell motivierte Bedrohungsgruppe ursprünglich als Partnerorganisation fungierte und Doppelerpressungsangriffe durchführte, wobei sie Infrastruktur und Ressourcen nutzte, die von mehreren Ransomware-as-a-Service (RaaS)-Ökosystemen, darunter LockBit, Qilin und Medusa, bereitgestellt wurden.
Die Operation wird von mehreren Forschern unter dem Namen Phantom Mantis verfolgt und von einem russischsprachigen Cyberkriminellen mit dem Pseudonym LARVA-368 geleitet. Diese Person nutzt mehrere Online-Pseudonyme, darunter hastalamuerte, ArmCorp, zeta88, nobody0 und santamuerte. Die Gruppe ist seit März 2025 aktiv und hat sich öffentlich zu 478 Opfern bekannt.
Inhaltsverzeichnis
Entstehung der Bedrohungsgruppe
Im Juli 2025 erfolgte eine bedeutende Umstrukturierung, als Phantom Mantis zu The Gentlemen wurde, einem unabhängigen Partnerprogramm, das nicht mehr auf externe RaaS-Anbieter angewiesen ist. Dieser Übergang ging mit einem umfassenden Einsatz von künstlicher Intelligenz zur Unterstützung der Ransomware-Entwicklung, der Tool-Wartung und der Aktivitäten nach der Ausnutzung einher.
Bedrohungsanalysen deuten darauf hin, dass LARVA-368 zuvor innerhalb der Embargo-Ransomware-Gruppe aktiv war, bevor es unter dem Namen ArmCorp eine eigenständige Operation startete. Vier Monate später wurde die Operation in „The Gentlemen“ umbenannt.
Der Zeitpunkt dieses Übergangs fiel zeitlich eng mit einem öffentlichen Streit zwischen LARVA-368 und der Qilin-Ransomware-Gruppe zusammen. Die Angreifer warfen Qilin vor, einen Exit-Scam durchgeführt und etwa 48.000 US-Dollar an Einnahmen einbehalten zu haben.
Um die Marktpräsenz in Untergrundkreisen zu stärken, hat Phantom Mantis in Premium-Mitgliedschaften in Cyberkriminellenforen investiert. Kommunikation und technischer Support werden größtenteils von einer separaten russischsprachigen Person namens „The Gentlemen Data“ übernommen.
Ein ausgereiftes und schnell wachsendes Ransomware-Ökosystem
Sicherheitsforscher beschreiben „The Gentlemen“ als eine hochgradig anpassungsfähige und sich schnell entwickelnde Ransomware-Gruppe, die traditionelle Ransomware-Techniken mit modernen RaaS-Funktionen kombiniert. Ihr Geschäftsmodell umfasst doppelte Erpressung, plattformübergreifende Ransomware-Varianten, flexible Verbreitungsmechanismen und umfassende Unterstützung durch Partner.
Die Gruppe hat sich rasant zu einem der aktivsten Ransomware-Akteure in der Bedrohungslandschaft entwickelt und war im April 2026 für etwa 10 % aller beobachteten Ransomware-Aktivitäten verantwortlich. Die Angriffskampagnen folgen typischerweise einer auf Unternehmen ausgerichteten Angriffskette, die mit anfälligen, mit dem Internet verbundenen Diensten oder kompromittierten Zugangsdaten beginnt.
Die Analyse legt zudem nahe, dass Angreifer ihre Taktiken während eines Angriffs dynamisch anpassen können. Zu den Aktivitäten gehören die Manipulation von Gruppenrichtlinienobjekten (GPOs), die Kompromittierung privilegierter Konten und der Einsatz spezieller Techniken zur Umgehung von Endpunktsicherheitskontrollen.
Die Verteilung der Opfer deutet auf einen überwiegend internationalen Schwerpunkt hin. Nur etwa 13 % der bekannten Opfer befinden sich in den Vereinigten Staaten, während die höchsten Opferkonzentrationen in Thailand, Großbritannien, Brasilien, Deutschland und Indien beobachtet wurden.
Affiliate-Support und kriminelle Geschäftstätigkeiten
The Gentlemen unterhält ein strukturiertes Partnernetzwerk, das direkt von LARVA-368 unterstützt wird. Spezielle Konten auf der The Gentlemen IM-Plattform bieten Unterstützung bei Verschlüsselungsprozessen und Herausforderungen im Zusammenhang mit Eindringversuchen, einschließlich des Zugriffs auf EDR-Bypass-Tools, die BYOVD-Techniken (Bring Your Own Vulnerable Driver) nutzen.
Supportleistungen für The Gentlemen und The Gentlemen Data werden über die Messaging-Plattformen Tox, SimpleX Chat und Ricochet Refresh angeboten. Interessierte Partner müssen mindestens 1 GB gestohlener Opferdaten einreichen, bevor sie Zugang zum Partnerportal erhalten. Diese Anforderung dient offenbar dazu, zu verhindern, dass Forscher und Strafverfolgungsbehörden sich als Partner ausgeben und so die Plattform infiltrieren.
Das Partnerportal ermöglicht die Benutzerverwaltung, die Zielkonfiguration und die Steuerung des Ransomware-Einsatzes. Um Teilnehmer zu gewinnen, verfolgt das Unternehmen eine aggressive Umsatzbeteiligungsstruktur, die 90 % der Gewinne an die Partner und 10 % an die Betreiber ausschüttet.
Technische Infrastruktur und Angriffsmethodik
Die Gruppe bietet fünf Ransomware-Varianten an, die auf Windows-, Linux-, ESXi-, Windows XP- und neuere Systeme sowie Umgebungen mit Logical Volume Manager (LVM) abzielen. Die ersten Angriffe konzentrieren sich üblicherweise auf die mit dem Internet verbundene Infrastruktur wie VPN-Appliances, Firewalls und Edge-Geräte.
Der Lebenszyklus eines Einbruchs umfasst ein breites Arsenal an offensiven Werkzeugen und Techniken:
- Red-Team-Tools wie NetExec, RelayKing, TaskHound, PrivHound und CertiHound dienen der Aufklärung von Active Directory, dem Missbrauch von Zertifikaten, der Rechteausweitung und der Ermittlung von Netzwerkfreigaben. Weitere Tools wie EDRStartupHinder, gfreeze, glinker und DumpBrowserSecrets erleichtern die Umgehung von Sicherheitsmaßnahmen und den Diebstahl von Anmeldeinformationen, während Velociraptor die Kommando- und Kontrollfunktionen unterstützt.
- Zu den Maßnahmen nach einer Kompromittierung gehören häufig das Löschen von Windows-System-, Anwendungs- und Sicherheitsereignisprotokollen, das Deaktivieren von Microsoft Defender und das Erstellen von Antivirus-Ausnahmen, um die Erkennungsmöglichkeiten zu verringern.
Die Ransomware verwendet ein hybrides Verschlüsselungsmodell, das den X25519-Schlüsselaustausch mit der symmetrischen XChaCha20-Verschlüsselung kombiniert. Forscher, die den Aktivitätscluster unter der Bezeichnung Storm-2697 verfolgten, stellten fest, dass die Malware in Go geschrieben und mit Garble verschleiert wurde.
Eine besonders gefährliche Funktion wird durch den Parameter „--spread“ aktiviert. Dieser wandelt die Ransomware von einem Einzelhost-Verschlüsselungsprogramm in einen sich selbst verbreitenden Wurm um, der sich über erreichbare Netzwerksysteme ausbreiten kann. Bei Ausführung mit dem Argument „--wipe“ führt die Malware zusätzliche Aktionen durch, die darauf abzielen, nach der Verschlüsselung wiederherstellbare Spuren zu vernichten.
Erpressungstaktiken und operative Agilität
Es gibt Hinweise darauf, dass die Gruppe „The Gentlemen“ eine mehrkanalige Erpressungsstrategie verfolgt, die über den Einsatz von Ransomware hinausgeht. Opfer können auch direkten E-Mail-Kontakt und telefonischen Druckkampagnen ausgesetzt sein, die darauf abzielen, die Wahrscheinlichkeit einer Zahlung zu erhöhen.
Der Entwicklungszyklus der Gruppe zeichnet sich durch eine außergewöhnlich hohe Reaktionsfähigkeit aus. Ein bemerkenswertes Beispiel ereignete sich im April 2026, als die Betreiber am selben Tag, an dem ein Entschlüsselungsprogramm öffentlich zugänglich wurde, einen Patch veröffentlichten.
Eindringversuche bleiben typischerweise zwei bis sechs Wochen lang unentdeckt, bevor die Verschlüsselung erfolgt. Organisationen, die VMware-Infrastruktur betreiben, scheinen besonders im Fokus von Angriffen zu stehen.
Interne Leaks enthüllen Organisationsstruktur
Im Mai 2026 gelang ein bedeutender Geheimdiensterfolg durch die Offenlegung einer internen Rocket.Chat-Datenbank der Gruppe. Das Leck enthielt 3.366 Nachrichten, die zwischen November 2025 und Ende April 2026 ausgetauscht worden waren und wertvolle Einblicke in die interne Struktur und die Arbeitsabläufe der Operation ermöglichten.
Die Kommunikation offenbarte eine klare Aufgabenteilung innerhalb der Gruppe und dokumentierte die Ausnutzung von Sicherheitslücken in VMware Aria Operations, Fortinet, Cisco und Microsoft-Technologien. Die Aufzeichnungen zeichneten das Bild einer gut organisierten kriminellen Organisation mit spezialisierten Rollen, die verschiedene Phasen von Angriffsoperationen unterstützten.
Die durchgesickerten Informationen zeigten auch die aktive Überwachung und Bewertung neu auftretender Schwachstellen, darunter CVE-2024-55591, CVE-2025-32433 und CVE-2025-33073. Diese Exploits wurden mit zusätzlichen Angriffspfaden kombiniert, die den Missbrauch von Backup-Systemen, die Kompromittierung von Management-Controllern und NTLM-Relay-Techniken umfassten, wodurch ein äußerst flexibles Angriffsframework entstand.
Vorstellung eines kompletten Bediener-Werkzeugkastens
Im März 2026 entdeckten Cybersicherheitsforscher ein ungeschütztes Verzeichnis auf dem kugelsicheren Hosting-Dienst Proton66. Das Verzeichnis enthielt 126 Dateien, die einem Ableger von The Gentlemen RaaS zugeordnet werden konnten, und legte damit ein komplettes Toolkit für Ransomware-Betreiber offen.
Das durchgesickerte Toolkit deckte nahezu jede Phase des Angriffszyklus ab:
- Aufklärung und Opferprofilerstellung
- Rechteausweitung
- Verteidigungsumgehung
- Diebstahl von Zugangsdaten
- Seitliche Bewegung
- Persistenzmechanismen
- Vorbereitungsaktivitäten vor der Verschlüsselung
Die Bandbreite der Instrumente unterstrich die operative Reife des Ökosystems und bot einen seltenen Einblick in die den Partnern zur Verfügung stehenden Ressourcen.
Die Bedrohung hinter der Marke
LARVA-368 ist seit mindestens 2020 in auf Erpressung ausgerichtete Cyberkriminalität verwickelt. Die durch die Zusammenarbeit mit mehreren Ransomware-Operationen gewonnenen Erfahrungen scheinen das technische Fachwissen, das operative Wissen und das kriminelle Netzwerk bereitgestellt zu haben, die notwendig waren, um The Gentlemen zu einem bedeutenden unabhängigen RaaS-Unternehmen auszubauen.
Die Kombination aus technischer Raffinesse, auf Partnerunternehmen ausgerichteten Geschäftspraktiken, schnellen Entwicklungszyklen und aggressiven Erpressungstaktiken hat The Gentlemen zu einer der prominentesten Ransomware-Bedrohungen gemacht, denen Organisationen derzeit weltweit ausgesetzt sind.
