**The Gentlemen**, eine russische Cyberkriminellen-Bande, war in der Ransomware-Landschaft äußerst aktiv und hat Berichten zufolge allein in den ersten fünf Monaten des Jahres 2026 Hunderte von Organisationen kompromittiert. Laut **Check Point Research** belegte sie in diesem Jahr den zweiten Platz unter den produktivsten Ransomware-Gruppen, dicht gefolgt von **Qilin**. ### Gentlemen bekommen eine Kostprobe ihres eigenen Medikaments Am oder um den 4. Mai erlebte **The Gentlemen** einen Einbruch in ihre interne Backend-Datenbank. Die Angreifer verkaufen nun über 16 GB an internen Kommunikationen, Tools und Daten für 10.000 US-Dollar in Bitcoin. Dieser Vorfall bietet einen seltenen Einblick in die internen Abläufe einer Ransomware-Operation. ### Einblicke aus dem Leak Obwohl der Einbruch die Operationen von **The Gentlemen** möglicherweise nicht lahmlegt, bieten die geleakten Daten, einschließlich einer von **Check Point Research** analysierten 44-MB-Stichprobe, wertvolle Informationen. Diese Analyse wirft Licht auf ihre operative Struktur, Taktiken, Techniken und Prozeduren (TTPs). ### Wie The Gentlemen operieren Die Gruppe wird von einer Person namens "zeta88" geleitet, die die Malware-Entwicklung, das Infrastrukturmanagement, die Zielauswahl und die Verhandlungen beaufsichtigt. Zeta88 wird von den operativen Spezialisten "qbit" und "quant" unterstützt, die sich auf Schwachstellenscans, Aufklärung, Persistenz und das Erlangen von Zugriff durch Logs bzw. Anmeldeinformationen konzentrieren. Die Organisation umfasst auch ein Team von Red Teamern, Access Brokern und einen Werbespezialisten. Obwohl nicht explizit erwähnt, stützt sich die Gruppe wahrscheinlich auf Affiliates, um ihre Reichweite zu erweitern. Das Zahlungsmodell fördert die Zusammenarbeit, wobei zeta88 10 % jeder Lösegeldzahlung erhält und die restlichen 90 % unter den anderen beteiligten Hackern verteilt werden. **Check Points** Eli Smadja hebt die Organisationsstruktur der Gruppe als Schlüsselfaktor für ihren Erfolg hervor und betont die klare Aufgabenteilung und die praktische Erfahrung des Administrators als ehemaliger Affiliate. ### Werkzeugkasten und Techniken **The Gentlemen** nutzen bekannte Schwachstellen und Exploitation-Techniken, kombiniert mit einer Reihe von etwa 30 Tools. Ihr Arsenal umfasst Scanner, VPNs, Fernzugriffstools und Techniken zur Umgehung von Endpoint Detection and Response (EDR) und Antivirenprogrammen, wie die "Bring-Your-Own-Vulnerable-Driver"-Taktik. Obwohl effektiv, beschreibt **Check Point** ihren Werkzeugkasten als "ziemlich ausgereift" und nicht als hochmodern. ### Experimentieren mit KI Mitglieder von **The Gentlemen** haben das Potenzial von Large Language Models (LLMs) für bösartige Zwecke erforscht, einschließlich der Unterstützung bei der Codeentwicklung. Sie sind jedoch auf Einschränkungen der aktuellen KI-Technologie gestoßen und erkennen die Notwendigkeit menschlicher Aufsicht und kritischen Denkens. ### Die Konkurrenz im Auge behalten **The Gentlemen** überwachen und diskutieren aktiv andere Ransomware-Gruppen und lernen aus deren Erfolgen und Misserfolgen. Sie haben sogar Wege erkundet, um aus dem **Black Basta**-Leak vom letzten Jahr Kapital zu schlagen, was ihre Kenntnis der sich entwickelnden Bedrohungslandschaft zeigt.