Gentlemen-Ransomware deaktiviert gezielt EDR-Software

  |
Gentlemen-Ransomware deaktiviert gezielt EDR-Software

Ransomware-Gruppe Gentlemen bietet Werkzeuge zur Abschaltung von Sicherheitssoftware an.

ESET Research analysiert die Infrastruktur einer der derzeit aktivsten Ransomware-Gruppen.

Zusammenfassung (TL; DR):

  • Die Ransomware-Gruppe Gentlemen entwickelt mit „GentleKiller“ eigene Werkzeuge zur gezielten Deaktivierung von EDR-Sicherheitssoftware in Firmennetzwerken.
  • Laut ESET integriert die Gruppe neue Angriffstechniken extrem schnell innerhalb weniger Tage in ihr Arsenal.
  • Gentlemen zählt zu den aktivsten Akteuren und greift bevorzugt Unternehmen in Westeuropa, Südostasien und Südamerika an.

Die Betreiber der Ransomware-Gruppe Gentlemen stellen ihren Partnern nicht nur Verschlüsselungswerkzeuge zur Verfügung, sondern entwickeln auch eigene Programme. Mit diesen zielen sie auf Umgehung und Abschaltung von Sicherheitssoftware. Besonders betroffen sind die in Netzwerken oft eingesetzten “Endpoint Detection and Response”-Lösungen. Das zeigt eine aktuelle Analyse des IT-Sicherheitsherstellers ESET. Demnach pflegt die Gruppe ein eigenes Portfolio sogenannter EDR-Killer und integriert neue Angriffstechniken häufig innerhalb weniger Tage in ihre Werkzeuge. Seit Anfang 2026 zählt Gentlemen zu den aktivsten Ransomware-Gruppen weltweit und greift Unternehmen in Westeuropa, Südostasien und Südamerika an.

Bereits mehrere Analysen zu Gentlemen

“In den vergangenen Monaten wurden bereits mehrere Analysen zu Gentlemen veröffentlicht. Eine detaillierte Untersuchung der EDR-Killer der Gruppe fehlte bislang jedoch”, sagt Jakub Souček, Malware-Forscher bei ESET. “Dank unserer Einblicke in reale Angriffe konnten wir die Entwicklung dieser Werkzeuge über Monate hinweg beobachten. Ein internes Datenleck bei Gentlemen im Mai 2026 hat unsere bisherigen Erkenntnisse zusätzlich bestätigt und neue Einblicke in die Arbeitsweise der Gruppe ermöglicht.”

Gentlemen entwickelt EDR-Killer für seine Affiliates

Die Untersuchungen von ESET zeigen, dass die Betreiber von Gentlemen ihren Affiliates nicht nur Ransomware zur Verfügung stellen. Sie entwickeln und pflegen auch ein eigenes Portfolio von EDR-Killern. Diese Werkzeuge dienen dazu, moderne Endpoint Detection and Response-Lösungen (EDR) sowie andere Sicherheitsprodukte gezielt außer Kraft zu setzen.

Im Mittelpunkt steht ein internes Framework, das ESET als GentleKiller bezeichnet. Das Datenleck bestätigte eine bereits im Februar 2026 aufgestellte Hypothese der ESET-Forscher, wonach Gentlemen diese Werkzeuge zentral entwickelt und den angeschlossenen Affiliates bereitstellt.

Neben GentleKiller setzt die Gruppe auch auf externe oder geleakte Werkzeuge wie HexKiller, ThrottleBlood und HavocKiller. Diese werden für die Umgehung von Sicherheitsmechanismen vereinheitlicht. Dazu gehören unter anderem gefälschte Versionsinformationen sowie kopierte Zertifikate und Symbole legitimer Softwarehersteller. Die ESET-Forscher identifizierten bislang acht Varianten von GentleKiller, die unterschiedliche verwundbare oder manipulierte Treiber missbrauchen. Jedoch weisen diese zahlreiche technische Gemeinsamkeiten auf.

Neue Angriffstechniken innerhalb weniger Tage übernommen

Die Analyse zeigt zudem, dass Gentlemen neu veröffentlichte “Bring Your Own Vulnerable Driver” (BYOVD) außergewöhnlich schnell in die eigene Infrastruktur integriert. Nach Erkenntnissen von ESET übernimmt die Gruppe entsprechende Techniken häufig innerhalb weniger Tage nach ihrer Veröffentlichung. Die Werkzeuge folgen einer einheitlichen Strategie zur Tarnung und Umgehung von Sicherheitsmechanismen. Dadurch lassen sich sowohl selbst entwickelte als auch extern beschaffte EDR-Killer in die Angriffsinfrastruktur integrieren und standardisiert einsetzen. Darüber hinaus identifizierte ESET einen Credential Stealer namens OxideHarvest, der von einem Affiliate der Gruppe entwickelt wird. Das Werkzeug dient dem Diebstahl von Zugangsdaten und ergänzt das bestehende Angriffsinventar von Gentlemen.

Opfer weltweit statt Fokus auf die USA

Gentlemen trat Ende 2025 erstmals als Ransomware-as-a-Service-Anbieter in Erscheinung und entwickelte sich innerhalb kurzer Zeit zu einer der aktivsten Ransomware-Gruppen des ersten Quartals 2026. Affiliates erhalten laut ESET einen Anteil von 90 Prozent der erpressten Lösegeldzahlungen. Die Gruppe setzt auf doppelte Erpressung: Neben der Verschlüsselung von Daten droht sie damit, gestohlene Informationen zu veröffentlichen, falls die Lösegeldforderung nicht erfüllt wird.

Auffällig ist zudem die geografische Verteilung der Opfer. Während viele große Ransomware-Gruppen einen deutlichen Schwerpunkt auf die USA legen, zeigt sich bei Gentlemen ein wesentlich breiteres Angriffsmuster. Die Gruppe greift Unternehmen in zahlreichen Ländern und Regionen an, darunter Südostasien, Südamerika und Westeuropa. Zu den betroffenen Ländern zählen unter anderem Thailand, Brasilien und Frankreich.

“Für Verteidiger ist es wichtig zu verstehen, wie GentleKiller funktioniert”, erklärt Souček. “Das hilft dabei, Sicherheitsstrategien gezielt weiterzuentwickeln und sich auch gegen zukünftige Erweiterungen des Werkzeugarsenals von Gentlemen zu schützen.”

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung