Die Ransomware-Gruppe The Gentlemen baut ihre Angriffsfähigkeiten weiter aus, indem sie ihre Affiliates mit spezialisierten Werkzeugen ausstattet, die Sicherheitsprodukte deaktivieren sollen. Forscher haben mehrere sogenannte EDR-Killer identifiziert, die Angreifern helfen, Schutzmechanismen zu umgehen, bevor sie Ransomware-Angriffe starten.
Die Ransomware-as-a-Service-Gruppe ist seit ihrem Auftauchen im Jahr 2025 schnell gewachsen. Sicherheitsforscher zählen sie mittlerweile zu den aktivsten Ransomware-Operationen des Jahres 2026. Die Betreiber entwickeln und pflegen eigene Werkzeuge zur Deaktivierung von Sicherheitslösungen, anstatt diese Aufgabe den Affiliates zu überlassen.
Forscher erklären, dass dieser Ansatz den Angreifern bessere Chancen bietet, in den frühen Phasen eines Angriffs unentdeckt zu bleiben. Sobald Sicherheitssoftware außer Gefecht gesetzt ist, können sich die Angreifer freier durch Netzwerke bewegen und Systeme auf Verschlüsselung und Datendiebstahl vorbereiten.
GentleKiller nimmt Sicherheitsprodukte ins Visier
Das bekannteste Werkzeug im Arsenal der Gruppe ist ein Programm, das Forscher als GentleKiller bezeichnen. Analysten haben mindestens acht Varianten der Software identifiziert. Jede Version wurde entwickelt, um Endpoint-Sicherheitslösungen zu deaktivieren und sich gleichzeitig als legitime Anwendung auszugeben.
Die Forscher fanden Varianten, die bekannte Produkte und Dienste imitieren, um Verdacht zu vermeiden. Die Betreiber aktualisieren das Werkzeug kontinuierlich und stellen Affiliates neue Versionen zur Verfügung, sobald Sicherheitsanbieter ihre Erkennungsmechanismen verbessern.
Laut Forschern von ESET können einige Varianten von GentleKiller Hunderte sicherheitsrelevanter Prozesse in Dutzenden von Endpoint-Schutzlösungen angreifen. Dieser Umfang macht das Werkzeug besonders gefährlich in Unternehmensumgebungen.
Angreifer missbrauchen anfällige Treiber
Die Ransomware-Gruppe setzt stark auf die Technik Bring Your Own Vulnerable Driver (BYOVD). Dabei laden Angreifer legitime, aber verwundbare Treiber und missbrauchen diese anschließend, um erhöhte Berechtigungen auf kompromittierten Systemen zu erlangen.
Mit diesen Rechten kann die Malware Sicherheitsprozesse beenden, Überwachungsdienste deaktivieren und Schutzmechanismen stören. Die Angreifer führen diese Schritte häufig durch, bevor sie Ransomware bereitstellen oder Daten stehlen.
Sicherheitsforscher beobachten, dass immer mehr Ransomware-Gruppen ähnliche Methoden einsetzen. The Gentlemen hebt sich jedoch dadurch ab, dass die Betreiber EDR-Killer aktiv entwickeln, pflegen und als festen Bestandteil ihrer Ransomware-Plattform bereitstellen.
Internes Datenleck enthüllte die Arbeitsweise der Gruppe
Ein Leak interner Daten von The Gentlemen Anfang des Jahres verschaffte Forschern einen seltenen Einblick in die Infrastruktur und das Affiliate-Programm der Gruppe. Die geleakten Informationen bestätigten, dass die Gruppe ihre EDR-Killer intern entwickelt und direkt an Affiliates verteilt.
Forscher fanden außerdem Hinweise darauf, dass die Betreiber ihre Partner bei der Identifizierung von Zielen und der Bewertung potenzieller Opferumgebungen unterstützen. Berichten zufolge konzentriert sich die Gruppe besonders auf Organisationen, die bestimmte Edge-Geräte und Unternehmensinfrastrukturen einsetzen.
Threat-Intelligence-Berichte deuten darauf hin, dass die Ransomware-Operation bereits Hunderte Opfer in verschiedenen Branchen und Ländern gefordert hat. Das schnelle Wachstum hat erhebliche Aufmerksamkeit von Sicherheitsforschern und Incident-Response-Teams auf sich gezogen.
Unternehmen benötigen mehrschichtige Schutzmaßnahmen
Traditionelle Endpoint-Sicherheit bleibt wichtig, doch Unternehmen sollten sich nicht auf eine einzige Schutzschicht verlassen. Sicherheitsteams sollten Manipulationsschutz aktivieren, Treiberaktivitäten überwachen und die Ausführung nicht autorisierter Software nach Möglichkeit einschränken.
Verteidiger sollten außerdem auf ungewöhnliche Versuche zur Rechteausweitung, verdächtige Treiberinstallationen und Aktivitäten achten, die Sicherheitswerkzeuge deaktivieren sollen. Eine frühzeitige Erkennung kann verhindern, dass Ransomware-Betreiber die vollständige Kontrolle über ein Netzwerk erlangen.
Fazit
The Gentlemen hat erheblich in Werkzeuge investiert, die Endpoint-Sicherheitslösungen ausschalten, bevor Angriffe beginnen. Das eigens entwickelte GentleKiller-Framework und weitere EDR-Killer helfen Affiliates dabei, Erkennungsmechanismen zu umgehen, sich durch Netzwerke zu bewegen und Ransomware-Angriffe effektiver durchzuführen. Da Ransomware-Gruppen diese Techniken weiter verfeinern, müssen Unternehmen ihre Überwachung verbessern, Endpoint-Schutzmaßnahmen härten und sich auf Angriffe vorbereiten, die gezielt Sicherheitswerkzeuge ins Visier nehmen.


0 Kommentare zu „Gentlemen-Ransomware nutzt EDR-Killer, um der Erkennung zu entgehen“