Gentlemen-Ransomware greift Soja de Portugal an und veröffentlicht 491 GB

Gentlemen-Ransomware greift Soja de Portugal an und veröffentlicht 491 GB

Die Ransomware-Gruppe The Gentlemen hat sich zu einem Angriff auf Soja de Portugal, eines der führenden Agrarunternehmen Portugals, bekannt, bei dem 491 GB sensible Unternehmensdaten offengelegt wurden. Laut einem von DeXpose veröffentlichten Bericht umfassen die kompromittierten Daten SAP-Systemaufzeichnungen, Mitarbeiterinformationen und Finanzdokumente. Der Quellartikel trägt das Datum 4. Juni 2026, bei dem es sich entweder um einen Berichtsfehler oder um eine in der Zukunft datierte Veröffentlichung zu handeln scheint; Leser sollten beachten, dass die faktische Richtigkeit dieses spezifischen Datums nicht unabhängig bestätigt werden kann, obwohl mehrere Threat-Intelligence-Quellen den Vorfall selbst als jüngstes Ereignis bestätigt haben.

Der Vorfall reiht sich in eine wachsende Liste von Angriffen ein, die den Gentlemen zugeschrieben werden – einem Ransomware-as-a-Service-Betrieb, der Forschern zufolge in der zweiten Jahreshälfte 2025 öffentlich in Erscheinung trat und seitdem Hunderte von Opfern in verschiedenen Branchen und Ländern gefordert hat.

Wer sind The Gentlemen und warum sind sie so effektiv?

Die Gruppe The Gentlemen agiert als Ransomware-as-a-Service-Plattform (RaaS), bei der die Kernentwickler ihre Malware und Infrastruktur an angeschlossene Angreifer lizenzieren, die einzelne Kampagnen durchführen. Dieses Modell senkt die Einstiegshürde für Cyberkriminelle und erschwert die Zuordnung für Ermittler.

Was diese Gruppe von älteren Ransomware-Operationen unterscheidet, ist ihre konsequente Anwendung der doppelten Erpressung: Sie verschlüsseln die Daten des Opfers und exfiltrieren sie, bevor sie die Verschlüsselung auslösen. Das bedeutet, dass selbst Organisationen mit soliden Backup-Verfahren einer zweiten Bedrohung gegenüberstehen: der öffentlichen Veröffentlichung oder dem Verkauf gestohlener Daten, falls kein Lösegeld gezahlt wird. Im Fall von Soja de Portugal scheint die Gruppe diese Drohung wahr gemacht zu haben – 491 GB wurden Berichten zufolge veröffentlicht oder über ihre Leak-Infrastruktur zugänglich gemacht.

Forscher haben festgestellt, dass das Toolkit der Gentlemen Windows, Linux, ESXi-Hypervisoren und NAS-Geräte ins Visier nimmt, wodurch sie in der Lage sind, eine Vielzahl von Geschäftsumgebungen zu stören – von traditionellen Büronetzwerken bis hin zu virtualisierten Rechenzentren.

Welche Daten wurden offengelegt und warum ist das wichtig

Die betroffenen Datenkategorien im Fall von Soja de Portugal sind eine genauere Betrachtung wert. Besonders bedeutsam sind SAP-Daten: SAP ist eine Enterprise-Resource-Planning-Plattform (ERP), die von großen Organisationen genutzt wird, um alles von Lieferketten und Beschaffung bis hin zu Gehaltsabrechnung und Buchhaltung zu verwalten. Ein Datenleck bei SAP kann Lieferantenverträge, Preisstrukturen, interne Finanzprognosen und Mitarbeitervergütungsdetails an einem Ort offenlegen.

Mitarbeiterdaten – eine weitere bestätigte Kategorie in diesem Vorfall – umfassen in der Regel Namen, Identifikationsnummern, Kontaktdaten und manchmal Bankdaten für die Gehaltsabrechnung. Wenn diese Daten preisgegeben werden, entstehen nachgelagerte Risiken für die einzelnen Arbeitnehmer, nicht nur für das Unternehmen selbst.

Dieses Muster, Unternehmenssysteme ins Visier zu nehmen, ist nicht einzigartig für diesen Angriff. Ähnliche Vorfälle, wie der Play-Ransomware-Angriff auf Ampex Data Systems, haben gezeigt, wie Angreifer hochwertige Datenspeicher mit personenbezogenen Mitarbeiterdaten und Finanzdaten priorisieren, gerade weil sie sowohl Erpressungshebel als auch Wiederverkaufswert auf kriminellen Märkten besitzen.

Agrar- und Fertigungsunternehmen werden zunehmend zu attraktiven Zielen, weil sie oft eine Mischung aus veralteter Betriebstechnologie und moderner Unternehmenssoftware betreiben, was zu größeren und weniger einheitlichen Angriffsflächen führt als bei Organisationen, die ihre Infrastruktur erst in jüngerer Zeit aufgebaut haben.

Warum Perimeter-Sicherheit allein nicht ausreicht

Eine der wichtigsten Lehren aus Vorfällen wie diesem ist, dass traditionelle Perimeter-Verteidigungen – Firewalls, Antivirensoftware und Netzwerküberwachung – zwar notwendig, aber unzureichend sind. Die Gentlemen und ähnliche Gruppierungen sind dafür bekannt, ersten Zugang über Phishing-Kampagnen, offene Remote-Desktop-Protocol-Ports (RDP) und kompromittierte Anmeldeinformationen zu erlangen. Einmal im Netzwerk, bewegen sie sich oft tagelang oder wochenlang seitwärts, bevor sie Ransomware einsetzen.

Aus diesem Grund plädieren Sicherheitsexperten zunehmend für einen mehrschichtigen Ansatz in der Unternehmenssicherheit. Zu den effektivsten Schichten gehören:

• Zero-Trust-Netzwerkzugang: Anstatt jedem Gerät oder Benutzer innerhalb des Netzwerkperimeters zu vertrauen, erfordert eine Zero-Trust-Architektur eine kontinuierliche Überprüfung der Identität und des Gerätezustands, bevor Zugriff auf eine Ressource gewährt wird.
• Verschlüsselter Fernzugriff: VPNs und ähnliche Tools schützen Daten während der Übertragung und verringern das Risiko des Abfangens von Anmeldeinformationen auf ungeschützten Verbindungen, insbesondere für Remote- und Hybrid-Mitarbeiter, die auf sensible Systeme zugreifen.
• Netzwerksegmentierung: Indem Systeme wie SAP von allgemeinen Arbeitsplatzrechnern getrennt werden, wird die Fähigkeit eines Angreifers eingeschränkt, sich nach dem ersten Eindringen seitwärts zu bewegen.
• Endpoint Detection and Response (EDR): Im Gegensatz zu herkömmlicher Antivirensoftware überwachen EDR-Tools Verhaltensanomalien, die darauf hindeuten können, dass ein Angreifer im Netzwerk aktiv ist, noch bevor Malware eingesetzt wird.

Der ChipSoft-Ransomware-Angriff in den Niederlanden verdeutlichte ein ähnliches Versagensmuster: Angreifer konnten auf große Datenmengen zugreifen und sie exfiltrieren, weil interne Systeme nicht ausreichend segmentiert und Zugriffskontrollen nicht fein genug waren, um den Vorfall nach dem ersten Zugang einzudämmen.

Was das für Sie bedeutet

Unabhängig davon, ob Ihr Unternehmen ein multinationaler Konzern oder ein regionales Unternehmen wie Soja de Portugal ist, hat sich die Risikoberechnung verändert. Ransomware-Gruppen mit RaaS-Modellen können Angriffe in großem Maßstab durchführen und jede Branche ins Visier nehmen, in der wertvolle Daten vorhanden sind. Agrarunternehmen, Logistikfirmen und Hersteller haben sich historisch vielleicht nicht als hochwertige Ziele betrachtet, doch die Daten, die sie in ERP- und HR-Systemen halten, erzählen eine andere Geschichte.

Hier sind konkrete Schritte, die Unternehmen unternehmen können, um ihre Gefährdung zu reduzieren:

• Überprüfen Sie Fernzugangspunkte: Identifizieren Sie alle internetseitigen Dienste, insbesondere RDP- und VPN-Gateways, und stellen Sie sicher, dass sie mit Multi-Faktor-Authentifizierung und regelmäßig aktualisierten Anmeldeinformationen gesichert sind.
• Setzen Sie das Prinzip der geringsten Privilegien um: Mitarbeiter und Systeme sollten nur Zugriff auf die Daten und Anwendungen haben, die sie tatsächlich benötigen. Weitreichende Zugriffsrechte beschleunigen die seitliche Bewegung nach einem Einbruch.
• Testen Sie Ihre Backups: Offline- oder unveränderliche Backups sind eine entscheidende Verteidigung gegen verschlüsselungsbasierte Ransomware, jedoch nur, wenn sie regelmäßig getestet und als wiederherstellbar bestätigt werden.
• Datenklassifizierung und Verschlüsselung im Ruhezustand: Zu wissen, welche Daten am sensibelsten sind, und sicherzustellen, dass sie auch bei interner Speicherung verschlüsselt sind, schränkt den Wert exfiltrierter Dateien für Angreifer ein.

Der Vorfall bei Soja de Portugal ist eine nützliche Fallstudie, nicht weil er außergewöhnlich ist, sondern weil er zunehmend typisch ist. Da Ransomware-Angriffe weiterhin große Mengen an Unternehmensdaten offenlegen, schneiden diejenigen Organisationen am besten ab, die Sicherheit als fortlaufenden Prozess und nicht als einmalige Investition betrachten. Jetzt Ihre Zugriffskontrollen, Netzwerkarchitektur und Ihren Incident-Response-Plan zu überprüfen, ist deutlich kostengünstiger, als im Nachhinein ein 491 GB großes Datenleck zu bewältigen.