Auf den Punkt: Gentlemen nutzt nach dem initialen Zugang kompromittierte Identitäten und vertrauenswürdige Admin-Tools statt Exploits – deshalb müssen Kontrollen über Privilegien und Netzwerksegmentierung getestet, nicht nur bereitgestellt werden.
Die Gentlemen-Ransomware zeigt ein zentrales Problem vieler CISOs: Attackern nach dem initialen Eindringen zu stoppen. Die Malware nutzt legitime Windows-Verwaltungstools zur Netzwerkausbreitung und versucht gleichzeitig, Sicherheits- und Recovery-Systeme zu schwächen.
Ein Bericht der Picus Security dokumentiert, wie die in Go geschriebene und mit Garble verschleierte Malware sich selbst verbreitet, vertrauenswürdige Administrative Tools missbraucht und Recovery-Systeme zu schwächen versucht, bevor die Verschlüsselung beginnt. Die Gruppe trat Mitte 2025 zunächst als geschlossene Operation auf, bot ihre Plattform ab September 2025 Affiliates an und hat bereits Organisationen in Bildung, Transport, Gesundheit und Finanzdienstleistungen über mehrere Kontinente hinweg angegriffen.
Die Selbstausbreitungsfähigkeit stellt das kritischste Merkmal dar: Die Malware kann erreichbare Systeme auflisten, ihre Binärdatei über SMB-Freigaben bereitstellen und bis zu 21 verschiedene Remote-Ausführungsmethoden gegen jedes Ziel versuchen – darunter PsExec, WMIC, geplante Aufgaben, Windows-Dienste, PowerShell-Remoting und WMI-Prozesserstellung. Diese Redundanz erhöht die Erfolgswahrscheinlichkeit bei der Netzwerkausbreitung. Vor der Verschlüsselung deaktiviert Gentlemen Microsoft Defender, löscht Shadow Copies, entfernt Forensik-Artefakte und stoppt Dienste von Datenbanken, Backup-Tools, Endpunkt-Protection und Virtualisierungsplattformen – eine Taktik, die Recovery deutlich erschwert.
Der Schlüsselunterschied zur Fokussierung auf Malware-Sophistication liegt nach Analyse von Sakshi Grover (IDC Asia/Pacific) darin, dass Attackers nach dem initialen Eindringen primär kompromittierte Identitäten und übermäßige Berechtigungen ausnutzen. Dies bedeutet für CISOs: Ransomware-Abwehr kann nicht allein an der Blockade des Erstkompromisses gemessen werden. Organisationen müssen begrenzen, wie weit sich Attackers im Netzwerk ausbreiten können.
Grover empfiehlt, mit stärkeren Kontrollen über privilegierte Konten zu beginnen – einschließlich Phishing-resistenter MFA und restriktiveren Zugriffsrichtlinien auf kritische Systeme. Identity Governance und Netzwerk-Segmentierung sollten dann die Anzahl möglicher Angriffspfade reduzieren. Entscheidend ist: Diese Kontrollen müssen durch Adversary Emulation und Attack Path Testing validiert werden, nicht nur in der Dokumentation vorhanden sein.
Das Verschlüsselungsverfahren nutzt einen hybriden Approach mit Curve25519 und XChaCha20 mit eindeutigen Schlüsseln pro Datei. Im Picus-Sample wurden Dateien mit der Erweiterung .umc16h versehen, andere Forscher beobachteten in separaten Kampagnen unterschiedliche Erweiterungen. Die Gruppe nutzt zudem Double-Extortion-Taktiken und droht mit Datenlecks, falls Lösegeld nicht gezahlt wird.
Quelle: www.csoonline.com · Erschienen 7. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.