Auf den Punkt: Gentlemen nutzt autonome Netzwerk-Propagierung, um Verschlüsselung auf mehrere Systeme gleichzeitig auszurollen, was herkömmliche Erkennungs- und Containment-Mechanismen überfordert.
Microsoft warnt vor der Gentlemen-Ransomware, die sich eigenständig durch Netzwerke ausbreitet und dabei Dateisysteme und komplette Infrastrukturen in kürzester Zeit verschlüsselt. Das in Go geschriebene Schadprogramm wurde Mitte 2025 erstmals beobachtet und operiert seither als Ransomware-as-a-Service mit wachsendem Partneraffiliate-Netzwerk.
Gentlemen unterscheidet sich von klassischen Ransomware-Attacken durch sein selbstpropagierendes Design. Der Encryptor identifiziert eigenständig erreichbare Systeme im Netzwerk, authentifiziert sich mit geraubten Credentials und kopiert sich selbst über Server Message Block (SMB) auf Remote-Maschinen. Nach der Deployment wird die Malware ferngesteuert ausgeführt und setzt die Ausbreitung fort – Angreifer müssen nicht ständig aktiv eingreifen.
Microsoft dokumentiert zwei zentrale Funktionalitäten: Das Kommando „–full“ startet separate Prozesse mit SYSTEM-Rechten zur Verschlüsselung lokaler Laufwerke und sichtbarer Netzwerk-Shares und maximiert damit die Verschlüsselungsabdeckung. Das Argument „–spread“ triggert die laterale Ausbreitung. Zusätzlich validiert die Malware ein hardcodiertes Passwort gegen eine RaaS-Affiliate-Vorgabe (im analysierten Sample: „9VoAvR7G“), um unautorisierten Gebrauch zu blockieren.
Gentlemen startete als geschlossenes Ransomware-Projekt, wurde im September 2025 in ein RaaS-Modell umgewandelt und rekrutiert Affiliates über BreachForums – einschließlich Penetrationstester und Initial-Access-Broker. Betroffene Sektoren sind Bildung, Transport, Gesundheit und Finanzen; geografisch betroffen sind Nord- und Südamerika, Europa, Afrika und Asien.
Die Ausbreitungsgeschwindigkeit reduziert Erkennungs- und Containment-Fenster erheblich. Herkömmliche Reaktionsmechanismen wie Help-Desk-Tickets oder Benutzer-Meldungen über Sperrmeldungen greifen nicht, wenn sich das Schadprogramm bereits auf Dutzende oder Hunderte Systeme ausgebreitet hat. Microsoft betont Monitoring von lateralen Bewegungsmustern und frühe Detektion als Schlüsselfaktor – die Differenz zwischen eingedämmtem Incident und unternehmensweiter Betriebsunterbrechung.
Sicherheitsfachleute sollten Gentlemen als Attack-Path-Problem behandeln: nicht isoliert als Patch- oder Detection-Challenge, sondern ganzheitlich als Verbreitungsrisiko. Priorität liegt auf der Kartographierung potentieller Ausbreitungswege, Kontrollen zur Detektion und Unterbrechung, und Identifikation von Lücken vor Eintritt eines Incidents.
Quelle: www.csoonline.com · Erschienen 29. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.8.