Von Conti bis zu „The Gentlemen“: Die Werkzeuge haben sich weiterentwickelt, die Lücken jedoch nicht.
Den Blog lesen
Vectra AIwurde im Gartner Magic Quadrant für NDR 2026 als einer der führenden Anbieter eingestuft
Bericht lesen
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. Ransomware

Von Conti bis zu „The Gentlemen“: Die Werkzeuge haben sich weiterentwickelt, die Lücken jedoch nicht.

June 2, 2026
6/2/2026
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Von Conti bis zu „The Gentlemen“: Die Werkzeuge haben sich weiterentwickelt, die Lücken jedoch nicht.

Kurz gesagt:

Vier Sicherheitslücken auf Betreiberseite über einen Zeitraum von vier Jahren (Conti 2022, Black Basta im Februar 2025, LockBit-Panel im Mai 2025, The Gentlemen im Mai 2026) zeigen, dass ransomware ihre Personalpolitik, ihr Marketing und ihre Tool-Ausstattung anpassen. Sie zeigen jedoch kaum Veränderungen darin, wie sie tatsächlich in Systeme eindringen, sich darin bewegen und Daten stehlen. Die Erkennung ist nicht gescheitert. Sie ist unvollständig.

--

Im Mai 2026 wird die Forschungsteam von Ransom-ISAC 3.366 Nachrichten wurden aus einer Rocket.Chat-Onion-Site extrahiert, die von einer russischsprachigen Gruppe namens „The Gentlemen“ genutzt wurde, die 2026 nach Qilin als zweitaktivste ransomware galt. In den extrahierten Daten befand sich ein Matrix-Protokoll von bestflowers247.online, der Heimserver Black Basta seit 2023 verwendet. Der Griff, der bei beiden zu sehen war: Basteln, der Verhandlungsführer. Intel 471 veröffentlichte einen Eigenständiges Profil von Tinker als Black Basta „phishing und Verhandlungsführer“ Anfang 2025. Ransom-ISAC bewertet mit mittlerer bis hoher Sicherheit dass derselbe Betreiber zuvor bei Conti dieselbe Funktion innehatte.

Ein Handgriff. Drei Marken. Vier Jahre. Immer derselbe Job.

Das ist zwar nur ein kleines Detail, aber es sagt alles. Netzbetreiber ändern ihren Namen, sie ziehen sich nicht zurück. Und die Methoden, mit denen sie sich Zugang zu den Netzen verschaffen, haben sich kaum verändert.

In den letzten Wochen habe ich mir alle primären Datenlecks durchgelesen, die ich in die Finger bekommen konnte: den Conti-Jabber-Dump, das SQL-Leck aus dem LockBit-Partnerbereich, die Black Basta Chats sowie beide Teile der Ransom-ISAC-Analyse zu „The Gentlemen“. Im Folgenden fasse ich zusammen, was sich geändert hat, was gleich geblieben ist und welche fünf Lücken in allen Dumps immer wieder auftauchten.

Die vier Lecks im Überblick

Vier ransomware , 2022 bis 2026 Zeitleiste mit den Gruppen Conti (Februar 2022), Black Basta Februar 2025), LockBit (Mai 2025) und The Gentlemen (Mai 2026) sowie dem Umfang der jeweiligen Datenlecks. Vier ransomware , vier Jahre 2022 2023 2024 2025 2026 Februar 2022 Conti Februar 2025 Black Basta Mai 2025 LockBit Mai 2026 Die Herren 200,000+ Jabber-Nachrichten 196,000+ Matrix-Nachrichten Vollständiger SQL-Dump 75 Beteiligungsgesellschaften, 103 Opfer 3.366 Nachrichten + MEGA- & NAS-Dump Drei Jahre zwischen den Entsorgungen

Conti (Februar 2022)

Am 25. Februar 2022 veröffentlichte die Führung von Conti eine Erklärung im Darknet, in der sie der russischen Regierung „volle Unterstützung“ im Krieg gegen die Ukraine zusicherte. Zwei Tage später eröffnete ein unbekannter Nutzer den Twitter-Account @ContiLeaks und begann, interne Jabber-Chats aus mehreren Jahren zu veröffentlichen. Die meisten Analysten gehen davon aus, dass es sich bei der Quelle um einen ukrainischen Forscher handelt, der zuvor Zugang zur Infrastruktur von Conti hatte. Der Datenbestand wurde vom malware „vx-underground“ erneut veröffentlicht und umfasste rund 60.000 Direktnachrichten aus dem Zeitraum von Juni 2020 bis Februar 2022.

Black Basta Februar 2025)

Am 11. Februar 2025 wurde ein Konto namens @ExploitWhispers hat auf Telegram eine 47 MB große JSON-Datei veröffentlicht, die 196.045 Matrix-Nachrichten enthält, größtenteils auf Russisch, und den Zeitraum vom 18. September 2023 bis zum 28. September 2024 abdeckt. Das angegebene Motiv des Whistleblowers: Black Basta „eine Grenze überschritten“, indem es russische Banken ins Visier genommen habe.

LockBit (Mai 2025)

Am 7. Mai 2025 ersetzte ein anonymer Akteur, der sich als „xoxo from Prague“ ausgab, die Onion-Seite von LockBit durch folgende Nachricht „Begeh keine Straftaten – VERBRECHEN SIND SCHLECHT“ und einen Link zu paneldb_dump.zip, ein vollständiger SQL-Export des Partner-Admin-Panels. Der Datensatz umfasst den Zeitraum vom 18. Dezember 2024 bis zum 29. April 2025, also die gesamte Zeit seit dem Relaunch nach der „Operation Cronos“, nachdem die britische National Crime Agency die Seite im Vorjahr geschlossen hatte.

Die Gentlemen (Mai 2026)

Am 2. Mai gab der Hosting-Anbieter 4VPS.SU eine Sicherheitsverletzung in seiner Infrastruktur bekannt: Ein Proxy-Server war ausgetauscht und der GRUB-Bootloader beschädigt worden. Zwei Tage später veröffentlichten „The Gentlemen“ im T1erOne-Forum einen eigenen Beitrag, in dem sie den Vorfall mit einem russischen Sprichwort abtaten: „Die Hunde bellen, aber die Karawane zieht weiter.“ Am 5. Mai meldete sich ein Nutzer, der sich n345 bot den Datensatz auf PwnForums für 10.000 US-Dollar in Bitcoin an. Drei Tage später veröffentlichte derselbe Nutzer ihn kostenlos auf CryptBB. Der Datensatz selbst: 3.366 Nachrichten von einer selbst gehosteten Rocket.Chat-Onion-Seite aus 22 Chaträumen, datiert von November 2025 bis Ende April 2026. Ein Folgepaket mit dem Namen JA456 tauchte kurz darauf unter einem anderen Benutzernamen auf Cracked auf und enthüllte diesmal betreiberseitige Daten: den DSGVO-Sitzungsverlauf eines MEGA-Kontos, ein Synology-NAS /etc/shadowsowie Screenshots von einem Werksreset während die Datenexfiltration noch mit einer Upload-Geschwindigkeit von 395 KB/s lief.

Was sich entwickelt hat

1. Die Unternehmensstruktur wurde verkleinert und dezentralisiert

Conti funktionierte wie ein mittelständisches Unternehmen: rund 100 Mitarbeiter, eine Personalabteilung, ein Rekrutierungsprozess sowie Gehaltszahlungen am 15. und 30. jedes Monats, bei Bürozeiten von 10:00 bis 18:00 Uhr Moskauer Zeit. Einige Schätzungen gehen sogar von bis zu 350 Mitgliedern in allen Unterteams aus.

Black Basta arbeitete auch drei Jahre später noch von zwei Büros in Moskau aus, mit einem wöchentlichen Küchenbudget von rund 2.000 US-Dollar und einem Fahrer, der den Anführer zwischen den Standorten hin- und herfuhr. Kleiner, kompakter, immer noch unter einem Dach.

Die Gentlemen sehen anders aus. Neun unterschiedliche Benutzerkennungen im Rocket.Chat-Dump, wobei sich die Zeitstempel der Chat-Aktivitäten auf MSK (zeta88, Kunder, Protagor), UTC+5 bis +9 (quant), UTC+7 bis +8 (mAst3r) und UTC+8 bis +10 (qbit) verteilen. Kein Büro. Keine regelmäßige Gehaltszahlung. Ein Kernteam, verteilt über verschiedene Zeitzonen, das sich über eine selbst gehostete Rocket.Chat-Instanz koordiniert und plant, „bald auf einen Rust-basierten Chat“ umzusteigen.

Die professionelle ransomware hat sich in Franchise-Gruppen aufgespalten.

2. Dieselben Leute, drei Marken, keine Neuanfänge

Die Tinker-Linie ist der eindeutigste Beweis für die Kontinuität der Betreiber trotz der Umfirmierungen. Intel 471 verfolgte denselben Akteur von Black Basta zu einer Rolle aus der Conti-Ära, bei der phishing , die Koordination von Callcentern und Verhandlungen im Mittelpunkt standen. Ransom-ISAC verbindet Tinker mit „The Gentlemen“ und erfüllt dabei dieselbe operative Funktion: Datenanalyse, Kontaktpflege zu Opfern, Manipulation von Zugangsdaten. Die gemeinsame bestflowers247.online Der Matrix-Homeserver, der sowohl im Black Basta im Gentlemen-Archiv vorhanden ist, bildet das Rückgrat der Infrastruktur dieser Linie.

Ein Rebranding ist ein Plan zur Kontinuität, kein Notfallplan.

3. KI hat den Sprung vom Wunschtraum zur praktischen Anwendung geschafft

In den Conti-Chats taucht KI nicht auf. Der Arbeitsablauf der Betreiber im Jahr 2022 ist menschenorientiert: Es werden ZoomInfo-Abonnements erworben, um Lösegeldforderungen anhand des Unternehmensumsatzes zu bemessen, und externe Code-Prüfer werden engagiert, um zu verhindern, dass sich IP-Fingerabdrücke zwischen den Unterteams überschneiden.

In den Black Basta von 2024 wird ChatGPT bereits täglich genutzt. Vier verschiedene, im Korpus dokumentierte Anwendungsfälle:

  1. Der Angreifer NN hat sich versehentlich in eine aktive Benutzersitzung im Netzwerk des Opfers eingeloggt und mithilfe von ChatGPT eine gefälschte Meldung über eine „professionelle Netzwerkprüfung“ generiert, um den Benutzer zu täuschen.
  2. mecor (Entwickler von Pikabot) nutzte ChatGPT, um einen Fehler beim Erstellen eines Go-basierten ARM/Linux-Proxyservers zu beheben.
  3. YY (Hauptprogrammierer) wurde beauftragt, malware mithilfe von ChatGPT malware Python neu zu schreiben, um Antiviren- und EDR-Programme zu umgehen. Als Ausweichlösung sollte YY den Code in Teilen einreichen, falls ChatGPT dies ablehnen sollte.
  4. Tinker (Verhandlungsführer) nutzte GPT-API-Dienste, um die Erfassung von Opferkontakten, die Überprüfung auf LinkedIn, den Versand von Spam-Mails und Kaltakquise zu automatisieren.

In den „Gentlemen Chats“ von 2026 ist KI fester Bestandteil des Verhandlungsablaufs. Zeta88 zu einem Kollegen: „Гпт. клауде, мы играем в переговорщика. он тебе строчит“ („GPT, Claude, wir spielen Verhandlungsführer. Es schreibt für dich“). Die Gruppe diskutiert auch unzensierte „abliterierte“ Qwen-Modelle, die auf Hugging Face gehostet werden, sowie das Mieten von GPUs auf vast.ai für die KI-gestützte Triage gestohlener Daten.

Was in keinem der vier Leaks zu finden ist: KI-generierte malware. Die Betreiber nutzen KI für Sprachverarbeitung, OSINT und Code-Übersetzung. Sie verlangen von ihr nicht, neue Techniken zu entwickeln. Und nicht alle davon werden verkauft. Wick, einer der „Gentlemen“-Betreiber: „Nichts funktioniert, die KI gibt mir nur unsinnige Ratschläge.“

4. EDR wird besiegt, nicht umgangen

Im Jahr 2021 gründete Conti eine französische Briefkastenfirma, um Carbon Black EDR für rund 14.800 Euro zuzüglich Umrechnungsgebühren legal zu erwerben, damit das Ryuk-Team malware einer echten, lizenzierten Appliance testen konnte. Das war die Beschaffung.

Bis 2026 betreiben The Gentlemen Live-Lockers unter dem Deckmantel „EDR eines bekannten Anbieters“ und nutzen dabei dokumentierte Techniken, die in ihren internen Chats bekannt gegeben wurden: das Entfernen von Hardware-Breakpoints aus DR-Registern, das „Unhooking“ von NTDLL mit sauberen Syscall-Stubs und das Patchen von ETW. Ein CrowdStrike-Killer kostet laut dem Operator mAst3r „etwa 5.000 Dollar“.

Maßgeschneiderte C2-Frameworks haben Cobalt Strike abgelöst. YY, der leitende Programmierer Black Basta, hat zwei Jahre lang daran gearbeitet, Leistungsschalter, ein maßgeschneiderter C2-Server mit TCP-/DNS-/PING-Kommunikation und RC4-Verschlüsselung. Die Gentlemen betreiben ihren eigenen G-BOT-Bedienfeld, ein bislang nicht dokumentiertes Framework mit SOCKS5-Tunneling pro Beacon und Builder-Uploads zu temp.sh und 0x0.st.

5. Der Hypervisor wurde zum neuen blinden Fleck

Contis Locker zielten auf Windows-Endgeräte ab, ESXi kam erst nachträglich hinzu. Im Rahmen des Lecks von 2026 ist dokumentiert, dass „The Gentlemen“ den Hyper-V Volume Manager direkt angegriffen und die Verschlüsselung auf Hypervisor-Ebene vorgenommen haben, sodass „EDR- und Backup-Agenten auf Gast-Ebene“ nicht erkennen konnten, was mit den von ihnen geschützten VMs geschah.

Dem Gast fällt nichts Ungewöhnliches auf, denn es geschieht nichts, was der Gast wahrnehmen könnte.

Was sich nicht weiterentwickelt hat

Die folgenden fünf Punkte tauchen in jedem einzelnen der vier durchgesickerten Dokumente auf – sowohl im Jahr 2022 als auch erneut im Jahr 2026 – und spielen dabei jeweils dieselbe Rolle in der Kill Chain.

1. Die Authentifizierung am Edge-Gerät ist erfolgreich

VulnCheck zählte 62 einzelne CVEs, die von Black Basta in den durchgesickerten Chats diskutiert wurden; von diesen waren 53 bereits als in der Praxis ausgenutzt bekannt, und 44 waren im Katalog der „Known Exploited Vulnerabilities“ der CISA aufgeführt. Die am häufigsten erwähnte CVE im gesamten Korpus war CVE-2024-3400, ein zero-day für Palo Alto Networks PAN-OS. Der Rest der Liste der am häufigsten diskutierten Schwachstellen umfasste eine Reihe von Produkten für den Unternehmensbereich: Citrix NetScaler, Atlassian Confluence, Microsoft, F5, Cisco, Fortinet. Die Betreiber begannen bereits wenige Tage nach der Veröffentlichung der ursprünglichen Sicherheitsempfehlung mit der Diskussion der CVEs.

Die Angreifer blieben auf derselben Ebene. Ihr primärer anfänglicher Zugangsweg zum System war Fortinet, wobei „FortiGate“ in den Rocket.Chat-Protokollen 81 Mal erwähnt und CVE-2024-55591 (die FortiOS-Authentifizierungsumgehung) ausdrücklich genannt wurde. Marken-VPN-Passwörter, die bei mehreren Opfern verwendet wurden: Herren25, Meine Herren25, sanft26. HalcyonEine separate Analyse der Gruppe belegt, dass diese etwa 1.000 Fortinet-VPNs mit Brute-Force-Angriffen angegriffen hat.

Es handelt sich um die zweitgrößte ransomware des Jahres 2026, die ein wiederverwendetes Passwort mit Markennamen gegen dieselbe Anbieterkategorie einsetzt, die seit 2021 in jedem jährlichen Sicherheitsbericht auf der Titelseite steht. Das Audit-Protokoll hat sie durchgewunken.

Contis Chats verlaufen nach dem gleichen Muster. Stern veröffentlichte eine Anfrage nach einem Scanner für CVE-2020-5135 (SonicWall-Stack-Pufferüberlauf, CVSS 9.4), und der Operator namens Ghost diesen. Sie kauften neue und generalüberholte SonicWall-Hardware, um diese Produktfamilie zu untersuchen.

Der Anbieter wechselt. Die Kategorie bleibt dieselbe. Die Edge-Identität ist das Eingangstor, und die Authentifizierung funktioniert weiterhin einwandfrei.

Quelle: Vulncheck

2. Im Browser gespeicherte Anmeldedaten sind nach wie vor der Passwort-Tresor

Das „Gentlemen“-Toolkit: DumpBrowserSecrets, Chrome-App-gebundene Ver- und Entschlüsselung, XenAllPasswordPro, Phemedrone Stealer V2.3.2, LummaC2. Die Black Basta zeigen, dass LummaC2 Nutzlasten abwirft auf %temp% und das Abziehen der gesammelten Anmeldedaten in qwertyuio.txt über den AnyDesk-Dateimanager.

Die Anmeldedaten werden nicht durch Phishing erbeutet. Sie werden eine Stunde nach der Anmeldung des Benutzers aus dem Browser ausgelesen. Das Audit-Protokoll hat dies zugelassen.

3. Die Datei „NTDS.dit“ in einer VSS-Sicherung stellt nach wie vor eine Domänenübernahme dar

JA456 (Gentlemen Teil 2) enthält einen VSS-Backup-Metadaten-Blob eines Windows Server-Domänencontrollers mit den NTDS-Writer (b2014c9e) vorhanden und backupSucceeded=yes, was bedeutet, dass ntds.dit und die Transaktionsprotokolle wurden vollständig erfasst. Ransom-ISAC merkt an: „Alle Domain-Hashes befanden sich zum Zeitpunkt der Datenexfiltration im Besitz von Zeta.“

Das ist ein Problem aus dem Jahr 2018, das ein Angreifer im Jahr 2026 immer noch zu lösen versucht.

4. Linux, ESXi und Hyper-V werden nach wie vor zu wenig überwacht

Der Aufruf des „Gentlemen Linux/NAS Locker“ ist wörtlich im Korpus enthalten: /opt/updateamd --password W8wNZteb --ultrafast --keep, ohne Dateiendung .i8p14s und die Notiz README-GENTLEMEN.txt. Der Synology-NAS-Dump in Teil 2 zeigt, wie der Bediener rclone, MEGAcmd und ein sc-rclone Dienstkonto direkt auf dem NAS einrichten und anschließend zwischen dem 3. Januar und dem 21. März 2026 Benutzerkonten für die Besatzung anlegen.

Der NAS diente als Zwischenspeicher für 127 TB gestohlener Daten und wurde so beiläufig betrieben wie eine Dateifreigabe im Homeoffice. Datenbewegungen zwischen Hosts, die vom SOC nicht protokolliert werden, gelten als nicht existent.

5. rclone zu MEGA ist nach wie vor der Exfiltrationsweg

Die Conti-Schließfächer wurden 2020 über Bazar und IcedID in eine benutzerdefinierte Infrastruktur integriert. Bis 2026 besteht der Exfiltrationspfad von „The Gentlemen“ aus einer einzigen Zeile, wie in JA456 belegt: rclone → NAS (193.228.128.2:2222, Benutzer d0wnloAd1) → MEGA. Sechs Jahre, immer dasselbe Muster. Seriös aussehender Datenverkehr zu einem seriösen cloud . Es sieht alles ganz normal aus.

Die Erkennung funktioniert einwandfrei. Sie ist nur unvollständig.

Wenn man 600.000 durchgesickerte Nachrichten von Mobilfunkanbietern liest, ist man leicht versucht, sich entweder niedergeschlagen oder bestätigt zu fühlen. Beide Reaktionen gehen jedoch am Kern der Sache vorbei.

Die Lecks lieferten den Verteidigern etwas noch Nützlicheres: eine Bestätigung aus erster Hand, welche Sicherheitslücken geschlossen werden müssen. Die Angreifer sind keine Zauberer. Es handelt sich um acht bis zwanzig Personen mit einer Rocket.Chat-Instanz, einem gemieteten Fortinet-Exploit und einem MEGA-Konto. Sie haben Erfolg, weil dieselben fünf Sicherheitslücken, die 2022 funktionierten, auch 2026 noch funktionieren.

Fünf Schritte, die die durchgesickerten Informationen bereits gerechtfertigt haben:

  1. Überprüfen Sie Ihre Edge-Geräte anhand der durchgesickerten CVE-Listen. CVE-2024-3400 (PAN-OS) stand in den Chats Black Basta ganz oben. CVE-2024-55591 (FortiGate-Authentifizierungsumgehung) wird in den Chats von The Gentlemen als ihr primärer Zugangsweg genannt. CVE-2025-32433 (Erlang/OTP SSH RCE) und CVE-2025-33073 (NTLM-Relay) tauchen im selben Toolkit auf. Der Patch-Status bei Palo Alto, Fortinet, Citrix, F5 und Cisco Edge ist eine Kennzahl auf Führungsebene.
  2. Behandeln Sie die Anmeldedaten-Speicher des Browsers als Authentifizierungsinfrastruktur. Die Tools Phemedrone, LummaC2 und Chrome App-Bound Encryption Decryption gehen davon aus, dass der Benutzer bereits angemeldet ist. Der Erkennungspunkt ist das Verhalten nach der Authentifizierung auf dem endpoint, nicht die Anmeldung selbst.
  3. Suchen Sie auf Hosts, auf denen diese Programme nicht vorhanden sein sollten, nach rclone, MEGAcmd, WinSCP und Velociraptor. Alle vier tauchen im „Gentlemen“-Korpus als Werkzeuge für Datenexfiltration und laterale Bewegung auf. Insbesondere Velociraptor ist ein legitimes DFIR-Tool, das für C2-Zwecke gegen mehrere Opfer zweckentfremdet wurde.
  4. Erhalten Sie Transparenz auf Hypervisor-Ebene. Angriffe auf den Hyper-V Volume Manager umgehen von Natur aus die EDR-Lösungen der Gast-VM. ESXi fällt in dieselbe Kategorie. Wenn Ihre Erkennung an der Grenze der VM endet, ist sie damit beendet.
  5. Behandeln Sie den Zugriff auf „NTDS.dit“ als Trigger der Schweregradstufe 1 und nicht als forensischen Befund. Sowohl das Conti-Playbook als auch das Black Basta und das Gentlemen-JA456-Archiv bestätigen, dass der Diebstahl von Domänencontroller-Backups ein Standardziel darstellt. Die Erkennung muss ausgelöst werden, sobald die Datei verändert wird, und nicht erst drei Wochen später, wenn das Passwort zurückgesetzt wird.
Fünf Lücken. Fünf Lösungen. Checkliste der fünf wiederkehrenden Sicherheitslücken, die in den Datenlecks von Conti, Black Basta, LockBit und The Gentlemen bestätigt wurden, mit einer kurzen Erläuterung, warum jede dieser Lücken der Standarderkennung entgeht, sowie einer empfohlenen Maßnahme zu ihrer Behebung. Fünf Lücken. Fünf Lösungen. Die Lücke Warum es eine Lücke ist So schließt man es Edge-Identität VPN, OWA, Edge-Geräte Erster Zugriffspfad Nr. 1 Verzögerungen bei der Patch-Installation sowie die Wiederverwendung von Passwörtern bei Fortinet, Palo Alto, Geräte von Citrix, F5 und Cisco am Netzwerkrand bieten Angreifern Zugang mit gültigen Anmeldedaten. Das Auditprotokoll zeichnet eine normale Anmeldung. Überprüfen Sie den Status der Patches anhand der durchgesickerten CVE-Liste: CVE-2024-3400, CVE-2024-55591, CVE-2023-4966, CVE-2025-32433, CVE-2025-33073. Behandeln Sie den Status des Edge-Patches als Leistungskennzahl. Im Browser gespeicherte Anmeldedaten Phemedron, LummaC2, ABE Diebstahl von Anmeldedaten nach der Authentifizierung Diebische Software liest Passwörter aus Chrome aus – stündlich nachdem sich der Benutzer angemeldet hat. Auf der auf der Authentifizierungsseite. Das Auditprotokoll zeichnet einen normalen Sitzung. Erkennen Sie den Zugriff auf Anmeldedaten nach der Authentifizierung auf der endpoint, nicht nur die Anmeldung. Hunt Phemedrone, LummaC2 und Chrome App-Bound Tools zur Verschlüsselung und Entschlüsselung. DC-Backups NTDS.dit, VSS-Snapshots Jeder Domain-Hash ist weg NTDS.dit, das aus einer VSS-Sicherung extrahiert wurde, übergibt jedes Domain-Hash. Die Erkennung erfolgt oft erst Wochen später, wenn die Passwortzurücksetzung durchgeführt wird. Behandeln Sie den Zugriff auf NTDS.dit und VSS-Sicherungen als Auslösung von Sev-1 an dem Tag, an dem es passiert, kein forensischer Befund drei Wochen später. Blinder Fleck des Hypervisors Hyper-V, ESXi, Linux-NAS EDR kann es nicht erkennen Angriffe auf den Hyper-V Volume Manager und ESXi verschlüsseln unterhalb des Gastbetriebssystems. EDR- und Backup-Agenten des Gastbetriebssystems können nicht sehen, was mit den VMs passiert, die sie schützen. Hinzufügen Transparenz auf Hypervisor-Ebene auf Hyper-V und ESXi. Wenn die Erkennung an der Grenze der VM endet, wird die Erkennung endet. Pipeline Cloud rclone, MEGAcmd, WinSCP Sieht nach cloud aus rclone, MEGAcmd, WinSCP und Velociraptor-Datenverkehr Sieht nach cloud seriösen cloud aus. Das gleiche Muster wie 2020, 2024 und 2026. Aufspüren rclone, MEGAcmd, WinSCP, Velociraptor auf Hosts die sie eigentlich nicht haben sollten. Vor allem der Velociraptor ist ein legitimes DFIR-Tool, das für C2-Zwecke umfunktioniert wurde.

Die Aufgabe für jeden CISO, der dies im Jahr 2026 liest, besteht darin, die Lücken zu schließen, die die Betreiber selbst bereits zweimal dokumentiert haben. Das E-Book „Mind Your Attack Gaps“ führt Sie durch das gesamte Framework, wobei Scattered Spider, Volt Typhoon und dascloud als Anwendungsbeispiele dienen.

Häufig gestellte Fragen