Inside Leak: Wie die Ransomware‑Gruppe „The Gentlemen“ so schnell wachsen konnte

Bereits Anfang 2026 listete die Leak‑Website der Gruppe mehr als 200 Opferorganisationen in über 50 Ländern.

Analysen von Sicherheitsforschern zeigen zudem, wie schnell die Aktivität zunahm:

• 179 veröffentlichte Opfer im ersten Quartal 2026
• ein Anstieg um 588 % gegenüber Q4 2025, als nur 26 Opfer veröffentlicht wurden

Weitere Auswertungen gehen davon aus, dass rund 332 Opfer allein in den ersten fünf Monaten 2026 auf der Leak‑Site erschienen.

Das Geschäftsmodell: Ransomware‑as‑a‑Service

Wie viele moderne Cybercrime‑Gruppen arbeitet The Gentlemen nach dem Ransomware‑as‑a‑Service‑Modell (RaaS). Dabei wird die eigentliche Schadsoftware von einem Kernteam entwickelt und betrieben, während externe Partner – sogenannte Affiliates – die Einbrüche in Unternehmensnetzwerke durchführen.

Die geleakte Backend‑Datenbank zeigte mehrere interne Benutzerkonten innerhalb des Kontrollpanels. Ein zentraler Operator mit dem Alias **„zeta88“ (auch „hastalamuerte“) soll die Infrastruktur, den Ransomware‑Builder und die Auszahlungsmechanismen verwalten.

Das Modell funktioniert vereinfacht so:

• Kernentwickler betreiben Plattform, Malware und Zahlungsinfrastruktur
• Affiliates führen die eigentlichen Angriffe durch
• Lösegeldzahlungen werden zwischen Plattformbetreibern und Affiliates aufgeteilt

Diese Arbeitsteilung ermöglicht es, Kampagnen schnell zu skalieren, ohne dass eine große Kernorganisation erforderlich ist.

Fokus auf internet‑exponierte Netzwerkgeräte

Eine der wichtigsten Erkenntnisse aus dem Leak ist die starke Konzentration der Gruppe auf Edge‑Infrastruktur, also Geräte am Rand eines Netzwerks.

Dazu zählen beispielsweise:

• Firewalls
• VPN‑Gateways
• Netzwerk‑Managementsysteme

Wenn solche Systeme direkt aus dem Internet erreichbar sind, können Angreifer sie als Einstiegspunkt nutzen und anschließend tiefer in das Unternehmensnetzwerk eindringen.

Besonders häufig wurde eine kritische Schwachstelle in Fortinet‑Systemen ausgenutzt: CVE‑2024‑55591. Diese Authentifizierungs‑Bypass‑Lücke in FortiOS und FortiProxy kann es Angreifern ermöglichen, Super‑Administratorrechte über speziell gestaltete Anfragen zu erlangen.

Mit administrativem Zugriff auf ein solches Gerät lässt sich ein Netzwerk oft umgehen, ohne klassische Endpoint‑Schutzsysteme auszulösen.

Inventar kompromittierter FortiGate‑Geräte

Berichte aus der Threat‑Intelligence‑Community deuten darauf hin, dass die Gruppe eine enorme Menge kompromittierter Infrastruktur verwaltete.

Demnach führten die Betreiber eine interne Liste von etwa 14.700 bereits ausgenutzten FortiGate‑Geräten weltweit sowie hunderten validierten VPN‑Zugangsdaten.

Ein solches Inventar funktioniert wie eine Angriffspipeline:

• Bereits kompromittierte Geräte können später erneut genutzt werden
• Zugangsdaten ermöglichen weitere seitliche Bewegungen im Netzwerk
• neue Ransomware‑Kampagnen lassen sich schnell starten

Was interne Chats über den Ablauf von Angriffen zeigen

Die geleakten Kommunikationskanäle dokumentieren, wie die Gruppe ihre Kampagnen organisiert. In mehreren Chat‑Kanälen wurden unter anderem diskutiert:

• Auswahl und Bewertung möglicher Opfer
• technische Vorbereitung von Angriffen
• Verwaltung von Infrastruktur und Tools
• Koordination vor der Veröffentlichung eines Opfers auf der Leak‑Seite

Solche Einblicke sind selten, weil Ransomware‑Gruppen normalerweise sehr abgeschottet arbeiten. Der Leak ermöglicht Forschern daher eine seltene End‑to‑End‑Perspektive auf den Ablauf eines Ransomware‑Angriffs.

Wichtige Sicherheitslehren für Unternehmen

Der Vorfall zeigt ein Muster, das sich in vielen aktuellen Cyberangriffen wiederholt: Die größte Schwachstelle liegt häufig an der Netzwerkgrenze.

Wenn Firewalls, VPN‑Server oder Management‑Interfaces öffentlich erreichbar und ungepatcht sind, können Angreifer sie als Einstiegspunkt nutzen und anschließend interne Systeme kompromittieren.

Wichtige Schutzmaßnahmen sind unter anderem:

• Schnelles Patchen kritischer Schwachstellen, etwa CVE‑2024‑55591 in Fortinet‑Geräten
• Keine öffentlich erreichbaren Management‑Interfaces für Firewalls oder Netzwerkgeräte
• Multi‑Faktor‑Authentifizierung für administrative Zugänge
• Zentrale Log‑Überwachung von VPN‑ und Firewall‑Systemen

Ein unvollständiger, aber wertvoller Einblick

Auch wenn das Datenleck nur einen Teil der internen Kommunikation von The Gentlemen offenlegt, liefert es wichtige Erkenntnisse über moderne Ransomware‑Operationen.

Die Analyse zeigt vor allem, wie schnell sich neue Cybercrime‑Gruppen entwickeln können, wenn sie auf:

• ein Affiliate‑Ökosystem,
• automatisierte Tools
• und unsichere, internet‑exponierte Infrastruktur

zurückgreifen.

Für Unternehmen bedeutet das vor allem eines: Die Sicherheit von Netzwerk‑Edge‑Systemen ist heute eine der entscheidenden Verteidigungslinien gegen Ransomware.