forschung

AUSSENDER



ESET Deutschland GmbH
Ansprechpartner: Michael Klatte
Tel.: +49 3641 3114 257
E-Mail: michael.klatte@eset.de
Pressefach (932)

FRüHERE MELDUNGEN

19.06.2026 - 14:00 | ESET Deutschland GmbH
ESET-Geschäftsjahr 2025: Wachstum durch technologische Kompetenz, Unabhängigkeit und Expertise
18.06.2026 - 14:30 | ESET Deutschland GmbH
ESET erhält Auszeichnung als MDR-Market-Leader
16.06.2026 - 11:15 | ESET Deutschland GmbH
Chinesische Spionagegruppe "FishMonger" rüstet auf und nimmt Regierungen in Asien und Lateinamerika ins Visier
15.06.2026 - 09:15 | ESET Deutschland GmbH
Phishing entwickelt sich weiter: Neue Betrugsmasche nutzt echte Microsoft-Anmeldungen
11.06.2026 - 11:15 | ESET Deutschland GmbH
Von der Dissidentenjagd zur Korruptionsbekämpfung?
alle Meldungen

FORSCHUNG

22.06.2026 - 11:30 | pressetext.redaktion
Mini-Greifer glänzt mit noch mehr Feingefühl
22.06.2026 - 06:15 | pressetext.redaktion
Instagram-Sucht kann Identitätskrise auslösen
22.06.2026 - 06:05 | pressetext.redaktion
Neue Robo-Schlange inspiziert Stromleitungen
19.06.2026 - 12:30 | pressetext.redaktion
Raffinerien sparen dank Membran Energie ein
19.06.2026 - 11:50 | pressetext.redaktion
Nur Elon Musks KI "SuperGrok" empfiehlt AfD
alle Forschung-News
pts20260622007 in Forschung

Ransomware-Gruppe Gentlemen bietet Werkzeuge zur Abschaltung von Sicherheitssoftware an

ESET Research analysiert die Infrastruktur einer der derzeit aktivsten Ransomware-Gruppen


Gar nicht Gentlemen-like: Hacker-Tools können EDR-Systeme ausschalten (Bild: ESET)
Gar nicht Gentlemen-like: Hacker-Tools können EDR-Systeme ausschalten (Bild: ESET)

Jena (pts007/22.06.2026/10:00)

Die Betreiber der Ransomware-Gruppe Gentlemen stellen ihren Partnern nicht nur Verschlüsselungswerkzeuge zur Verfügung, sondern entwickeln auch eigene Programme zur gezielten Umgehung und Abschaltung von Sicherheitssoftware. Besonders betroffen sind die in Netzwerken oft eingesetzten "Endpoint Detection and Response"-Lösungen. Das zeigt eine aktuelle Analyse des IT-Sicherheitsherstellers ESET. Demnach pflegt die Gruppe ein eigenes Portfolio sogenannter EDR-Killer und integriert neue Angriffstechniken häufig innerhalb weniger Tage in ihre Werkzeuge. Seit Anfang 2026 zählt Gentlemen zu den aktivsten Ransomware-Gruppen weltweit und greift Unternehmen in Westeuropa, Südostasien und Südamerika an.

"In den vergangenen Monaten wurden bereits mehrere Analysen zu Gentlemen veröffentlicht. Eine detaillierte Untersuchung der EDR-Killer der Gruppe fehlte bislang jedoch", sagt Jakub Souček, Malware-Forscher bei ESET. "Dank unserer Einblicke in reale Angriffe konnten wir die Entwicklung dieser Werkzeuge über Monate hinweg beobachten. Ein internes Datenleck bei Gentlemen im Mai 2026 hat unsere bisherigen Erkenntnisse zusätzlich bestätigt und neue Einblicke in die Arbeitsweise der Gruppe ermöglicht."

Gentlemen entwickelt EDR-Killer für seine Affiliates

Die Untersuchungen von ESET zeigen, dass die Betreiber von Gentlemen ihren Affiliates nicht nur Ransomware zur Verfügung stellen, sondern auch ein eigenes Portfolio von EDR-Killern entwickeln und pflegen. Diese Werkzeuge dienen dazu, moderne Endpoint Detection and Response-Lösungen (EDR) sowie andere Sicherheitsprodukte gezielt außer Kraft zu setzen.

Im Mittelpunkt steht ein internes Framework, das ESET als GentleKiller bezeichnet. Das Datenleck bestätigte eine bereits im Februar 2026 aufgestellte Hypothese der ESET-Forscher, wonach Gentlemen diese Werkzeuge zentral entwickelt und den angeschlossenen Affiliates bereitstellt.

Neben GentleKiller setzt die Gruppe auch auf externe oder geleakte Werkzeuge wie HexKiller, ThrottleBlood und HavocKiller. Diese werden für die Umgehung von Sicherheitsmechanismen vereinheitlicht. Dazu gehören unter anderem gefälschte Versionsinformationen sowie kopierte Zertifikate und Symbole legitimer Softwarehersteller. Die ESET-Forscher identifizierten bislang acht Varianten von GentleKiller, die unterschiedliche verwundbare oder manipulierte Treiber missbrauchen, jedoch zahlreiche technische Gemeinsamkeiten aufweisen.

Neue Angriffstechniken werden innerhalb weniger Tage übernommen

Die Analyse zeigt zudem, dass Gentlemen neu veröffentlichte "Bring Your Own Vulnerable Driver" (BYOVD) außergewöhnlich schnell in die eigene Infrastruktur integriert. Nach Erkenntnissen von ESET übernimmt die Gruppe entsprechende Techniken häufig innerhalb weniger Tage nach ihrer Veröffentlichung. Die Werkzeuge folgen einer einheitlichen Strategie zur Tarnung und Umgehung von Sicherheitsmechanismen. Dadurch lassen sich sowohl selbst entwickelte als auch extern beschaffte EDR-Killer in die Angriffsinfrastruktur integrieren und standardisiert einsetzen. Darüber hinaus identifizierte ESET einen Credential Stealer namens OxideHarvest, der von einem Affiliate der Gruppe entwickelt wird. Das Werkzeug dient dem Diebstahl von Zugangsdaten und ergänzt das bestehende Angriffsinventar von Gentlemen.

Opfer weltweit statt Fokus auf die USA

Gentlemen trat Ende 2025 erstmals als Ransomware-as-a-Service-Anbieter in Erscheinung und entwickelte sich innerhalb kurzer Zeit zu einer der aktivsten Ransomware-Gruppen des ersten Quartals 2026. Affiliates erhalten laut ESET einen Anteil von 90 Prozent der erpressten Lösegeldzahlungen. Die Gruppe setzt auf doppelte Erpressung: Neben der Verschlüsselung von Daten droht sie damit, gestohlene Informationen zu veröffentlichen, falls die Lösegeldforderung nicht erfüllt wird.

Auffällig ist zudem die geografische Verteilung der Opfer. Während viele große Ransomware-Gruppen einen deutlichen Schwerpunkt auf die USA legen, zeigt sich bei Gentlemen ein wesentlich breiteres Angriffsmuster. Die Gruppe greift Unternehmen in zahlreichen Ländern und Regionen an, darunter Südostasien, Südamerika und Westeuropa. Zu den betroffenen Ländern zählen unter anderem Thailand, Brasilien und Frankreich.

"Für Verteidiger ist es wichtig zu verstehen, wie GentleKiller funktioniert", erklärt Souček. "Das hilft dabei, Sicherheitsstrategien gezielt weiterzuentwickeln und sich auch gegen zukünftige Erweiterungen des Werkzeugarsenals von Gentlemen zu schützen."

Die vollständige Analyse "Gar nicht Gentlemen-like: Hackergruppe schaltet Sicherheitssoftware mit "EDR-Killer-Framework" aus" ist auf WeLiveSecurity verfügbar.

(Ende)
Aussender: ESET Deutschland GmbH
Ansprechpartner: Michael Klatte
Tel.: +49 3641 3114 257
E-Mail: michael.klatte@eset.de
Website: www.eset.de
|
Top