Das Cybersicherheitsunternehmen **Check Point Software** verfolgt **The Gentlemen**, eine ausgeklügelte "Ransomware-as-a-Service" (RaaS)-Operation, genau. Die verlockende 90/10-Umsatzbeteiligung für Affiliates – deutlich höher als der Branchenstandard von 80/20 – hat das Wachstum der Gruppe beschleunigt, indem sie erfahrene Betreiber von rivalisierenden Programmen angezogen hat. Laut **Check Point** sind **The Gentlemen** in diesem Jahr zur zweitaktivsten Ransomware-Gruppe nach Opferzahl aufgestiegen und verzeichnen seit ihrer Gründung Mitte 2025 mindestens 332 veröffentlichte Opfer, davon über 240 allein im Jahr 2026. Ihr Vorgehen beinhaltet die Ausnutzung von internetfähigen Geräten wie VPNs und Firewalls als anfängliche Eintrittspunkte, gefolgt von der schnellen Verschlüsselung ganzer Netzwerke innerhalb von Stunden nach dem Eindringen. **Check Point** identifiziert den Administrator und Hauptbetreiber der Gruppe unter dem Spitznamen **Zeta88** auf russischsprachigen Cybercrime-Foren, zuvor bekannt als **Hastalamuerte**. Ein Einbruch in die Backend-Infrastruktur der Gruppe bestätigte Berichten zufolge, dass **Hastalamuerte**/**Zeta88** für die Zusammenstellung des Lockers und des RaaS-Panels, die Verwaltung von Zahlungen und die Überwachung der gesamten Operation verantwortlich ist und zehn Prozent aller Lösegelder erhält. ## Wer ist Hastalamuerte? Die Cyber-Intelligence-Firma **Intel 471** enthüllt, dass **Hastalamuerte** eine russisch- und englischsprachige Person ist, die sich zwischen 2019 und heute auf fast einem Dutzend Cybercrime-Foren registriert hat, darunter **Exploit**, **Breachforums**, **Ramp_V2**, **BHF**, **Raidforums** und **Nulled**. **Intel 471** deckte auf, dass sich **Hastalamuerte** im Januar 2025 über eine Internetadresse in **Ischewsk**, der Hauptstadt der russischen Republik Udmurtien, auf **Breachforums** registriert hat. Ebenso meldete sich der Benutzer **Zeta88** im August 2022 über eine andere **Ischewsk**er IP-Adresse auf dem englischsprachigen Cybercrime-Forum Breached an. Weitere Untersuchungen von **Intel 471** zeigen, dass sich **Hastalamuerte** im Jahr 2020 auf **Raidforums** unter der E-Mail-Adresse **[email protected]** registriert hat. Die Zahl '1488' ist ein bekanntes Symbol, das mit weißer Vorherrschaft assoziiert wird. Eine **Epieos**-Abfrage dieser Adresse verknüpft sie mit einem Apple-Konto und einer Telefonnummer, die auf **04** endet. **Epieos** verbindet diese Protonmail-Adresse auch mit einem GitHub-Konto unter dem Benutzernamen **SantaMuerte**. Obwohl das Konto privat ist, deutet seine Aktivitätshistorie auf eine Beteiligung an der Beobachtung und Entwicklung verschiedener Malware-Tools und Exploits hin. Im April 2020 veröffentlichte **Hastalamuerte** auf dem **Nulled**-Crime-Forum den Telegram-Messenger-Namen **@hastalamuerte18**. Das Threat-Intelligence-Unternehmen **Flashpoint** bestätigte, dass dieser Benutzername mit der eindeutigen Telegram-ID-Nummer **30907522** verknüpft ist. Der Breach-Tracking-Dienst **Constella Intelligence** berichtet, dass die Telegram-ID von **Hastalamuerte** mit einem weiteren Benutzernamen, "**bu4vs**", und der russischen Telefonnummer **79127650004** verknüpft ist. Eine Pivotierung auf diese Nummer in **Constella** ergab mehrere Datensätze aus kompromittierten russischen Regierungsdatenbanken, die sie **Alexander Andreevich Yapaev**, einem 36-Jährigen aus **Ischewsk**, zuordnen. **Constella** fand auch, dass diese Telefonnummer zur Erstellung eines Kontos auf der russischen Social-Media-Plattform Pikabu unter dem Namen "**4apai18**" verwendet wurde und dass Herr **Yapaev** sich auf verschiedenen Websites mit dem Nachnamen "Chapaev" (wobei '4' im Russischen oft 'ch' ersetzt) registriert hat. Eine **Intel 471**-Suche nach Cybercrime-Forum-Mitgliedern mit dem Spitznamen **SantaMuerte** ergab ein im Jahr 2020 erstelltes Konto auf dem russischen Hacker-Forum Codeby. **Intel 471** zeigt, dass sich dieser Benutzer ursprünglich auf Codeby mit dem weniger subtilen Spitznamen **Alexandr 4apaev** registriert hat. **Constella** gibt an, dass Herr **Yapaev** regelmäßig die E-Mail-Adresse **[email protected]** verwendet hat. **Epieos** verknüpft diese Adresse mit einem LinkedIn-Konto für **Alexander Yapaev**, der sich als Leiter des B2B-Marketings bei **Uralenergo Udmurtia** ausgibt, einem großen russischen Anbieter von elektrotechnischen und Beleuchtungsprodukten. Herr **Yapaev** reagierte nicht auf mehrere Anfragen nach einem Kommentar. ## Warum die offensichtlichen Mängel in der OpSec? Es ist eine häufige Beobachtung, dass viele Cyberkriminelle, insbesondere diejenigen, die aus Russland operieren, erkennbare digitale Spuren hinterlassen. Dies rührt oft von einer allmählichen Immersion in die Cyberkriminalität her und nicht von der anfänglichen Absicht, ein hartgesottener Krimineller zu sein. Ihre Fähigkeiten entwickeln sich im Laufe der Zeit, und frühe Karrierefehler in der operativen Sicherheit (OpSec) sind aufgrund eines geringeren wahrgenommenen Risikos häufig. Ein weiterer wichtiger Faktor ist die Haltung der russischen Regierung, die Cyberkriminalitätsaktivitäten innerhalb ihrer Grenzen oft entweder kooptiert oder übersieht, solange sie nicht russische Unternehmen oder Bürger ins Visier nehmen. Dies bietet eine gewisse Isolierung von ausländischen Strafverfolgungsbehörden und ermutigt zu einem weniger strengen Ansatz bei der OpSec, insbesondere für diejenigen, die ursprünglich beabsichtigen, diese ungeschriebenen Regeln einzuhalten. Zum Beispiel zeigen frühe Beiträge von **Hastalamuerte** aus den Jahren 2019-2020 einen relativ unsophistizierten Hacker, der die Grundlagen lernt. Im Juni 2020 trat das Telegram-Konto von **Hastalamuerte** einem mehrmonatigen Trainingsprogramm (@pntst) für Penetration-Testing-Tools bei, mit offenen Beiträgen, die anfängliche Schwierigkeiten beim Beherrschen dieser Tools zeigten.