Zum Hauptinhalt springen
S-EDV news
← Alle News
Sicherheit & Datenschutz 18.07.2026 · 3 min Lesezeit

Ransomware-Gruppe 'The Gentlemen': Neue Nr. 1 weltweit mit EDR-Killer GentleKiller

The Gentlemen hat Qilin als aktivste Ransomware-Gruppe weltweit abgelöst. Das eigene GentleKiller-Framework deaktiviert EDR-Lösungen gezielt vor dem Angriff. 483 Opfer in 66 Ländern in unter einem Jahr. Admins müssen EDR-Tamper-Protection sofort prüfen.

IT News Grafik zur Ransomware Gruppe The Gentlemen und dem EDR Killer GentleKiller, der Sicherheitssoftware auf Endgeräten deaktivieren kann.

Die Ransomware-Gruppe "The Gentlemen" hat im Juni 2026 laut Check Point Research die zuvor dominierende Gruppe Qilin als aktivste Ransomware-Gruppe weltweit abgelöst. Mit 483 bekannten Opfern in 66 Ländern, einem eigenen EDR-Killer-Framework namens "GentleKiller" und einer aggressiven Rekrutierungsstrategie über BreachForums zählt die Gruppe zu den gefährlichsten Akteuren des Jahres 2026. Für KMU ist die wichtigste Konsequenz: EDR-Schutz allein reicht nicht mehr.

Was ist passiert?

The Gentlemen ist seit September 2025 aktiv und hat sich in weniger als einem Jahr zur führenden Ransomware-Gruppe weltweit entwickelt. Der Check Point Report für Juni 2026 dokumentiert einen globalen Anstieg der Ransomware-Angriffe um 17 Prozent im Vorjahresvergleich, mit The Gentlemen als aktivstem Akteur. Palo Alto Unit42 hat die Taktiken und Werkzeuge der Gruppe im Detail analysiert.

Besonders auffällig ist das eigene Toolkit: Die Gruppe setzt ein Go-basiertes Custom-Backdoor und "GentleKiller" ein, ein Framework, das gezielt EDR-Lösungen (Endpoint Detection and Response) deaktiviert, bevor die eigentliche Ransomware-Payload ausgerollt wird. Zusätzlich wird der Einsatz eines unbekannten Zero-Day-Exploits zur Umgehung von Abwehrmechanismen vermutet.

Im Mai 2026 ging The Gentlemen eine Partnerschaft mit HasanBrokers BreachForums ein, um Affiliates, Penetrationstester und Initial Access Broker (IABs) zu rekrutieren. Das RaaS-Modell (Ransomware-as-a-Service) ermöglicht es der Gruppe, ihre Angriffsfläche massiv auszuweiten, ohne selbst alle Operationen durchführen zu müssen.

Wer ist betroffen?

  1. Hauptziele: Große Unternehmen und kritische Infrastruktur weltweit, laut Securelist mit Fokus auf Nordamerika und Europa.
  2. KMU-Risiko: Durch das RaaS-Modell können auch kleinere Unternehmen ins Visier geraten, wenn Affiliates breitere Kampagnen fahren oder wenn KMU als Einstiegspunkt für größere Ziele dienen.
  3. EDR-Nutzer besonders im Blick: Unternehmen, die sich ausschließlich auf EDR-Lösungen verlassen und keine Tamper-Protection aktiviert haben, sind durch GentleKiller direkt gefährdet.

Wie kritisch ist das?

The Gentlemen ist keine gewöhnliche Ransomware-Gruppe. Der Einsatz eines dedizierten EDR-Killers zeigt, dass die Gruppe gezielt moderne Schutzmaßnahmen umgeht. Ein EDR-System, dessen Tamper-Protection nicht aktiviert ist, kann durch GentleKiller blind gemacht werden, bevor eine Alarm ausgelöst wird. Das bedeutet: Der übliche Erkennungs- und Reaktionsplan greift unter Umständen nicht.

Die Verknüpfung von RaaS-Struktur, spezialisiertem Toolkit und aktivem Affiliate-Recruiting macht The Gentlemen zu einem Akteur mit hohem Wachstumspotenzial. Der Sprung von null auf 483 Opfer in unter einem Jahr ist außergewöhnlich.

Was sollten Admins jetzt tun?

  1. EDR-Tamper-Protection prüfen und aktivieren. Ohne Tamper-Protection kann GentleKiller den Agenten deaktivieren.
  2. EDR-Herstellerdokumentation auf bekannte GentleKiller-Signaturen prüfen. Viele Anbieter haben inzwischen Erkennungsregeln veröffentlicht.
  3. Initial-Access-Vektoren schließen: VPN-Zugänge mit MFA absichern, exponierte RDP-Schnittstellen schließen oder hinter VPN legen.
  4. Backup-Strategie prüfen: Offline-Backups oder immutable-Backups als letzte Verteidigungslinie gegen Verschlüsselung sicherstellen.
  5. Incident-Response-Plan auf Szenarien ausweiten, in denen der EDR-Agent nicht mehr reagiert.
  6. Threat-Intelligence-Feeds auf The-Gentlemen-Indikatoren (IOCs) aus den Palo-Alto-Unit42- und Kaspersky-Securelist-Berichten abonnieren.

Einordnung für Unternehmen

Für KMU ist die Botschaft klar: EDR ist notwendig, aber nicht hinreichend. Die Kombination aus Tamper-Protection, netzwerkseitiger Segmentierung, Offline-Backup und einem getesteten Incident-Response-Plan bleibt die einzig belastbare Verteidigungsstrategie. Wer noch keinen Incident-Response-Plan hat oder Backups nicht regelmäßig auf Wiederherstellbarkeit testet, sollte das unmittelbar angehen.

Passende Artikel auf S-EDV

  1. Sophos: KI-gestützte Ransomware umgeht EDR-Lösungen – Hintergrund zu KI-gestützten Ransomware-Werkzeugen und EDR-Bypass-Techniken.
  2. Wazuh 4.14 SIEM auf Ubuntu 24.04 installieren – Ein eigenes SIEM ergänzt EDR und erkennt Anomalien, die ein deaktivierter Agent nicht mehr meldet.
  3. CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist – Patch-Priorisierung als erste Verteidigungslinie gegen Initial-Access-Vektoren.

Quellen

  1. Netzpalaver: The Gentlemen ist die gefährlichste Ransomware-Gruppe, 15.07.2026
  2. Palo Alto Unit42: The Ruthless Rise of The Gentlemen Ransomware
  3. Kaspersky Securelist: The Gentlemen RaaS, rapid growth and a new ransomware variant
  4. IT-Daily: The Gentlemen – die neue Nummer 1 unter den Hackern