THE MEDICAL IT POST

News aus IT & Gesundheitswesen – täglich kompakt und relevant

IT-Sicherheit

The Gentlemen: So tickt die neue Nummer 1 unter den Hackern

15. Juli 2026Quelle: it-daily.net

Zusammenfassung

Eine Ransomware-Gruppe namens The Gentlemen, die vor einem Jahr noch gar nicht existierte, hat sich an die Spitze der Bedrohungslandschaft gesetzt. Gleichzeitig steigen die Cyberangriffe auf deutsche Unternehmen deutlich. Tags: #Cyber Crime | #Hacker

Im Detail

Eine Ransomware-Gruppe namens The Gentlemen, die vor einem Jahr noch gar nicht existierte, hat sich an die Spitze der Bedrohungslandschaft gesetzt. Gleichzeitig steigen die Cyberangriffe auf deutsche Unternehmen deutlich.

The Gentlemen heißt die Gruppe, die im Juni 2026 laut Check Point zur aktivsten Ransomware Gruppe weltweit aufgestiegen ist. Mit 17 Prozent aller bekannt gewordenen Angriffe löste sie den bisherigen Spitzenreiter Qilin ab, der nur noch auf 11 Prozent kam.

Gegründet wurde die Gruppe Mitte 2025 von einem russischsprachigen Akteur, der zuvor als Affiliate bei Qilin und LockBit aktiv war. Sie arbeitet nach dem Ransomware-as-a Service-Modell, stellt Angreifern also Schadsoftware und Infrastruktur gegen Gewinnbeteiligung zur Verfügung.

Zusätzlich tritt sie als Access Broker auf und verschafft Affiliates Zugriff auf rund 14.000 bereits kompromittierte FortiGate Geräte, ein möglicher Grund, warum die Gruppe binnen weniger Monate mehr als 320 Opfer gelistet hat.

Patrick Fetter von Check Point bringt es auf den Punkt: „Das beweist wieder einmal, wie schnell neue Akteure in dieser Schattenwirtschaft Fuß fassen.“

Bekannt wurde The Gentlemen vor allem durch ihre doppelte Erpressungstaktik: Die Gruppe verschlüsselt nicht nur die Systeme ihrer Opfer, sondern droht zusätzlich mit der Veröffentlichung zuvor gestohlener Daten, sollte kein Lösegeld gezahlt werden. Ins Visier geraten dabei vor allem größere Unternehmen aus Branchen mit sensiblen Datenbeständen.

Ihren Ruf als besonders aggressiver Akteur verdankt die Gruppe zudem der hohen Schlagzahl an Opfern, die sie binnen kürzester Zeit öffentlich gelistet hat, sowie dem Zugriff auf bereits vorbereitete Einstiegspunkte in fremde Netzwerke.

Auf der Opferliste der Gruppe stehen mittlerweile mehrere hundert Organisationen aus über 60 Ländern und mehr als 20 Branchen, mit Schwerpunkt auf Fertigung, Gesundheitswesen und Finanzdienstleistungen. Namentlich gelistet wurden unter anderem der chinesische Industriezulieferer Dongguan HYX Industrial, der Finanzdienstleister Rogers Capital sowie die Warka Bank for Investment and Finance.

In einem weiteren Fall reklamierte die Gruppe den Diebstahl von 1,5 Terabyte Daten bei einem Unternehmen namens Solumek für sich.

Beim technischen Vorgehen setzt The Gentlemen kaum auf klassisches Phishing, sondern zielt gezielt auf internetseitig erreichbare Netzwerkgeräte, allen voran Fortinet FortiGate Firewalls. Über eine bekannte Schwachstelle in FortiOS verschaffen sich Affiliates Zugang, oft mithilfe einer eigenen Datenbank bereits kompromittierter oder per Brute Force geknackter VPN Zugänge.

Anschließend wird tagelang das Active Directory ausgekundschaftet, Sicherheitssoftware deaktiviert und Daten abgezogen, bevor am Ende die Verschlüsselung über eine Gruppenrichtlinie im gesamten Netzwerk ausgerollt wird.

Die Ransomware selbst läuft plattformübergreifend unter Windows, Linux und ESXi, verschlüsselt mit den Verfahren XChaCha20 und Curve25519 und kann sich in einem Wurm Modus auch eigenständig auf weitere Systeme im Netzwerk ausbreiten.

Steckbrief: The Gentlemen

Gegründet Mitte 2025

Gründer russischsprachiger Akteur, zuvor Affiliate bei Qilin und LockBit

Modell Ransomware as a Service (RaaS) und Access Broker

Vorgehen Datenverschlüsselung kombiniert mit Erpressung durch Veröffentlichungsdrohung

Zugang rund 14.000 kompromittierte FortiGate Geräte

Bekannte Opfer über 320 öffentlich gelistet

Anteil an Ransomware Angriffen Juni 2026 17 Prozent, Platz 1 weltweit

Auf Platz drei folgt LockBit, das seinen Anteil von einem Prozent im Mai auf sieben Prozent im Juni steigerte. Zusammen kommen die drei größten Gruppen auf 35 Prozent aller registrierten Angriffe. Insgesamt zählte Check Point im Juni 646 öffentlich gemeldete Ransomware Angriffe, ein Plus von 33 Prozent gegenüber dem Vorjahr, ermittelt über die Leak-Seiten der Erpressergruppen.

Am stärksten betroffen war der Bereich Unternehmensdienstleistungen mit 31 Prozent aller Opfer, gefolgt von Konsumgütern und Dienstleistungen sowie industrieller Fertigung. Nordamerika verzeichnete mit 44 Prozent den größten Anteil, APAC überholte mit 23 Prozent erstmals Europa mit 22 Prozent.

Auch Deutschland trifft es deutlich härter

Hiesige Unternehmen registrierten im Juni im Schnitt 1659 Cyberangriffe pro Woche, ein Plus von 35 Prozent gegenüber dem Vorjahr und von 21 Prozent gegenüber Mai. Die Zahlen seien „aufrüttelnd“, kommentiert Fetter den deutschen Trend. Damit liegt Deutschland zwar unter dem europäischen Durchschnitt von 2003 Angriffen, der Zuwachs fällt aber überdurchschnittlich hoch aus.

Österreich kam auf 2243 Angriffe, ein Plus von 37 Prozent, die Schweiz verzeichnete mit 44 Prozent den stärksten Anstieg im DACH Raum.

Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im Juni 2026 verglichen mit Juni 2025. Bildquelle: Check Point Global lag der Schnitt bei 2270 Angriffen pro Woche, zehn Prozent mehr als im Mai und 17 Prozent mehr als im Vorjahr. Die Zunahme zog sich über nahezu alle Regionen und Branchen.

Bildung bleibt mit 4816 Angriffen pro Woche weltweit die am stärksten betroffene Branche, vor Regierung und Telekommunikation. Deutliche Zuwächse gab es auch bei Non-Profit-Organisationen, Energieversorgern und in der Landwirtschaft. In Deutschland führen Energie und Bildung weiterhin das Ranking an, neu dabei sind Software und Telekommunikation.

KI Nutzung im Unternehmen bleibt ein Risiko

Jeder 26. GenAI Prompt barg im Juni ein hohes Risiko, sensible Daten preiszugeben, das entspricht einer Expositionsrate von 3,9 Prozent. 85 Prozent der Unternehmen mit regelmäßiger GenAI Nutzung waren betroffen, weitere 27 Prozent der Prompts enthielten potenziell sensible Informationen.

Am höchsten ist das Risiko im Gesundheitswesen mit 5,7 Prozent, vor Telekommunikation und Unternehmensdienstleistungen mit je 5,1 Prozent. Den größten Anteil der preisgegebenen Inhalte machen mit 80 Prozent personenbezogene Daten aus.

Unternehmen seien dem aber nicht schutzlos ausgeliefert, betont Fetter. Mit einem präventiven, KI gestützten Sicherheitsansatz ließen sich auch unbekannte Angriffe neutralisieren, bevor Schlimmeres geschehe.

(red/Check Point)

Tags: #Cyber Crime | #Hacker

Zum Originalartikel

Newsletter

Täglich die wichtigsten News aus IT & Gesundheitswesen

Jeden Tag 1–2 ausgewählte Meldungen per E-Mail – kostenlos und jederzeit abbestellbar.

THE MEDICAL IT POST

The Medical IT Post ist die führende Nachrichtenquelle für IT-Entscheider in Arztpraxen, MVZ und Kliniken in Deutschland.

Alle Artikel basieren auf öffentlich zugänglichen Informationen und wurden automatisch in eigenen Worten zusammengefasst.

© 2025 The Medical IT Post. Alle Rechte vorbehalten. | Powered by IT-ÄRZTE GmbH | Datenschutz