Eine Ransomware-Gruppe wuchs in einem Quartal von 35 auf 182 Opfer – durch ein 90%-Affiliate-Modell.

Eine Ransomware-Gruppe wuchs in einem Quartal von 35 auf 182 Opfer. Das Werkzeug: ein 90%-Affiliate-Umsatzmodell.

Das ist keine Cybersecurity-Meldung. Das ist ein Geschäftsmodell.

The Gentlemen starteten im August 2025. Bis Q1 2026 waren sie global die zweitaktivste Ransomware-Gruppe mit über 300 öffentlich genannten Opfern. Check Point Research erhielt Zugang zu einem Live-C2-Server und zählt über 1.570 tatsächlich betroffene Unternehmen. Die öffentliche Leak-Seite zeigt weniger als 20 % der tatsächlichen Operation.

Die Mechanik: Ein Go-basierter Locker für Windows, Linux, NAS und BSD sowie ein separater C-basierter Verschlüsseler für ESXi. 90 % Umsatzbeteiligung für Affiliates – gleichauf mit RansomHub als höchste Auszahlung im Ransomware-Untergrund. Bei 70–80 % wechseln Affiliates die Gruppe. Bei 90 % bleiben sie.

Das eigentliche Problem: Die Qualität des Lockers ist zweitrangig. Bei 90 % Auszahlung ziehen die Besten der Ransomware-Szene zu The Gentlemen. Bessere Affiliates bedeuten mehr Einbrüche, gezielteren Einsatz, höhere Lösegeldforderungen.

Prüfen Sie Ihre Segmentierung, Offline-Backups und EDR-Abdeckung. Ransomware wird nicht langsamer. Sie wird professioneller.