Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 20.06.2026 · 4 min Lesezeit

Gentlemen Ransomware: EDR-Killer deaktivieren Sicherheitssoftware von 48 Herstellern

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Microsoft Defender Warnmeldung zur RoguePlanet-Lücke CVE-2026-50656 mit beschädigtem Schutzschild, Serverumgebung und ausstehendem Patch Status in moderner Cybersecurity News Grafik

"

Die Gentlemen-Ransomware-as-a-Service-Gruppe (RaaS) hat eine Suite spezialisierter EDR-Killer entwickelt, die Sicherheitssoftware von 48 Herstellern deaktivieren kann. ESET-Forscher dokumentierten mindestens acht Varianten des als GentleKiller bezeichneten Tools, das jeweils unterschiedliche anfällige Treiber missbraucht, um Kernel-Zugriff zu erlangen und Sicherheitsprozesse zu beenden.

Meldung und Einordnung

ESET hat im Juni 2026 detaillierte Analyseergebnisse zu GentleKiller veröffentlicht, einem spezialisierten EDR-Killer-Tool, das von der Gentlemen-Ransomware-Gruppe eingesetzt wird. Das Tool nutzt die Bring-Your-Own-Vulnerable-Driver-Technik (BYOVD), um Kernel-Level-Zugriff zu erlangen und Sicherheitssoftware zu deaktivieren. Die Gruppe betreibt ein Ransomware-as-a-Service-Modell und ermöglicht Affiliates den Zugriff auf ihre EDR-Killing-Infrastruktur.

Besonders besorgniserregend ist die Verbindung zum kürzlich entdeckten FortiBleed-Leak, bei dem fast 74.000 FortiGate-VPN-Zugangsdaten offengelegt wurden. Die Gentlemen-Ransomware wählt ihre Ziele offenbar gezielt anhand der Konfiguration von FortiGate-Endpunkten aus. Dies deutet auf eine systematische Auswertung der geleakten Zugangsdaten hin.

Die Gruppe hat zudem eine Verbindung zu einem SystemBC-Proxy-Malware-Botnetz mit über 1.570 Hosts, das mutmaßlich für Kompromittierungen im Vorfeld von Ransomware-Angriffen genutzt wird.

Technische Details für Admins

GentleKiller existiert in mindestens acht Varianten, die jeweils unterschiedliche anfällige Treiber für den BYOVD-Angriff nutzen. Alle Varianten teilen sich jedoch gemeinsame Code-Strings, identische Obfuskationstechniken und ähnliche Prozess-Kill-Logiken. Das Framework ist laut ESET so konzipiert, dass Treiber einfach ausgetauscht oder neu entdeckte Schwachstellen ohne große Code-Änderungen integriert werden können.

ToolTypHerkunft
GentleKillerEigenentwicklung (8 Varianten)Gentlemen RaaS
HexKillerExternes ToolWarlock-Gruppe
ThrottleBloodExternes ToolMesudaLocker/DragonForce
HavocKillerExternes ToolAndere Ransomware
OxideHarvestCredential-Stealer (Rust)Extern entwickelt

GentleKiller zielt auf mehr als 400 Prozesse von rund 48 Sicherheitsanbietern ab, darunter Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix und Kaspersky. Die Binaries sind mit den kommerziellen Schutzwerkzeugen Enigma und Themida gepackt. Zudem verwendet die Gruppe gestohlene digitale Signaturen von legitimer Software, die jedoch ungültig sind.

Risiko für KMU und Betrieb

Die Kombination aus EDR-Killern und dem FortiBleed-Zugangsdaten-Leak stellt ein erhebliches Risiko für Unternehmen dar, die FortiGate-Firewalls einsetzen. Wenn ein Angreifer zunächst über geleakte VPN-Zugangsdaten in das Netzwerk eindringt, dort mit GentleKiller die Sicherheitssoftware deaktiviert und anschließend die Ransomware ausrollt, bleiben kaum Abwehrmöglichkeiten.

Besonders betroffen sind kleine und mittlere Unternehmen, die häufig auf FortiGate-Firewalls als zentrale Sicherheitskomponente setzen, aber keine zusätzlichen Endpoint-Detection-Schichten wie EDR/XDR betreiben. Selbst mit EDR kann GentleKiller die Überwachung aushebeln, bevor die Verschlüsselung beginnt. Der Vorfall unterstreicht die Notwendigkeit einer mehrschichtigen Sicherheitsstrategie, bei der der Ausfall einer einzelnen Schutzebene nicht zur vollständigen Blindheit führt.

Was Admins jetzt prüfen sollten

  1. FortiGate-Zugangsdaten prüfen: Sofort alle VPN-Zugänge auf ungewöhnliche Aktivität prüfen und Passwörter für alle Administratorkonten zurücksetzen.
  2. MFA für alle VPN-Zugänge erzwingen: Zusätzlich zu starken Passwörtern eine zweite Authentifizierungsebene für den Fernzugriff einrichten.
  3. BYOVD-Schutz aktivieren: In Windows prüfen, ob der Treiberblockierungsmechanismus für bekannte anfällige Treiber aktiv ist (Windows Defender Application Control oder äquivalent).
  4. EDR-Alarme auf Prozessbeendigungen prüfen: Nach ungewöhnlichen Terminierungen von Sicherheitsprozessen suchen, insbesondere wenn mehrere Dienste kurz hintereinander ausfallen.
  5. SystemBC-Proxy-Erkennung einrichten: Auf ungewöhnliche Proxy-Verbindungen und unbekannte Hintergrunddienste achten, die auf eine Vorkompromittierung hindeuten könnten.
  6. Ransomware-Notfallplan aktualisieren: Sicherstellen, dass der Plan auch den Fall abdeckt, dass EDR-Systeme deaktiviert wurden und die Erkennung auf Netzwerkebene erfolgen muss.
  7. Immutable Backups prüfen: Verifizieren, dass Backups nicht über das kompromittierte Netzwerk erreichbar sind und im Fall einer erfolgreichen Verschlüsselung eine Wiederherstellung ermöglichen.

Betriebscheck nach der Meldung

  1. Setzt unser Unternehmen FortiGate-Firewalls mit VPN-Zugang ein?
  2. Wurden die FortiGate-Passwörter nach Bekanntwerden des FortiBleed-Leaks zurückgesetzt?
  3. Sind unsere EDR/XDR-Systeme gegen BYOVD-Angriffe gehärtet (Treiberblockliste aktiv)?
  4. Können wir ungewöhnliche Prozessbeendigungen von Sicherheitssoftware erkennen?
  5. Sind unsere Backups immutable und vom Produktivnetzwerk getrennt?
  6. Haben wir einen aktuellen Ransomware-Notfallplan, der den Ausfall von EDR berücksichtigt?

Admin-Einschätzung

Die Professionalisierung von EDR-Killern in der Ransomware-Szene ist ein besorgniserregender Trend. Gentlemen RaaS bietet Affiliates nicht nur Verschlüsselungssoftware, sondern eine komplette Angriffsplattform inklusive spezialisierter Umgehungstools. Dass die Gruppe dabei auf eine Suite externer und eigener EDR-Killer zurückgreift, erschwert die Abwehr zusätzlich, da nicht nur ein Tool, sondern mehrere unabhängige Verfahren blockiert werden müssen.

Die Verbindung zum FortiBleed-Zugangsdaten-Leak macht die Bedrohung besonders akut. Unternehmen mit FortiGate-Firewalls sollten nicht nur auf eine schnellstmögliche Patch- und Passwort-Rotation setzen, sondern auch prüfen, ob ihre EDR-Lösung gegen die dokumentierten GentleKiller-Varianten gewappnet ist. Die ESET-Analyse bietet hierfür konkrete Indikatoren, die in die SIEM-Regeln eingepflegt werden können. Eine reine Endpoint-Verteidigung reicht nicht mehr aus \u2013 die Angreifer haben bewiesen, dass sie diese aushebeln können.

Passende Anleitungen auf S-EDV

  1. Ransomware-Notfallplan: die ersten 60 Minuten \u2013 Konkrete Handlungsschritte für den Ernstfall
  2. Immutable Backups gegen Ransomware mit restic und Hetzner Storage Box \u2013 Backupstrategie für den Wiederherstellungsfall

Quellen

  1. BleepingComputer: Gentlemen ransomware uses multiple EDR killers to disable defenses
  2. ESET: Gentlemen Ransomware \u2013 EDR Killer Analysis
  3. BleepingComputer: FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices
Verwandt

Weiter lesen

Alle Artikel →
IT News Grafik zum Klue OAuth Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte OAuth-Integration
20.06.2026 ·4 min

Klue OAuth-Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte Integration

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.
S-EDV News Grafik zu Infostealer Logs und 24 Milliarden Zugangsdaten
18.06.2026 ·4 min

24 Milliarden Zugangsdaten offen im Netz: Was Admins jetzt prüfen sollten

Eine riesige Sammlung aus Infostealer-Logs macht klar: Passwortwechsel allein reicht nicht. Admins sollten MFA, Sessions, Tokens und Anmeldeprotokolle prüfen.
NGINX 1.31.2 Sicherheitsupdate mit geschlossenem Schutzschild vor Server, Darstellung kritischer Sicherheitslücken in HTTP/3, gRPC und Charset Modul in moderner Cybersecurity News Grafik mit Rechenzentrum und Netzwerkvisualisierung.
18.06.2026 ·5 min

nginx 1.31.2 schließt kritische Lücken in HTTP/3, gRPC und Charset Modul

nginx 1.31.2 schließt drei Sicherheitslücken: CVE-2026-42530 in HTTP/3, CVE-2026-42055 in Proxy und gRPC Setups sowie CVE-2026-48142 im Charset Modul. Admins sollten Webserver, Container Images und Reverse Proxies jetzt prüfen.