Nguy hiểm: Bộ công cụ Ransomware TheGentlemen bị lộ hoàn toàn

31/03/2026
5 mins read
Nguy hiểm: Bộ công cụ Ransomware TheGentlemen bị lộ hoàn toàn

Một máy chủ bị cấu hình sai, được đặt trên nhà cung cấp hosting “bulletproof” ở Nga, đã vô tình làm lộ toàn bộ bộ công cụ ransomware hoạt động của một chi nhánh thuộc nhóm TheGentlemen. Sự cố này phơi bày cả thông tin xác thực nạn nhân bị thu thập và các token xác thực văn bản thuần được sử dụng để thiết lập các đường hầm truy cập từ xa ẩn.

Nhóm TheGentlemen hoạt động theo mô hình Ransomware-as-a-Service (RaaS), nơi các chi nhánh thực hiện các cuộc tấn công bằng cách sử dụng chung các công cụ và hạ tầng. Nhóm này được ghi nhận đã nhắm mục tiêu vào các tổ chức ở Châu Mỹ, Châu Âu và Trung Đông, với khả năng tấn công trên môi trường Windows, Linux và ESXi. Để hiểu rõ hơn về các biến thể ransomware có thể tấn công môi trường này, có thể tham khảo thêm LockBit Linux và ESXi ransomware. Quy trình tấn công của TheGentlemen diễn ra rất nhanh, rút ngắn thời gian từ khi truy cập ban đầu đến khi mã hóa hoàn toàn chỉ trong vài giờ. Điểm đáng chú ý của vụ lộ dữ liệu này là máy chủ không chỉ chứa các công cụ đang chờ sử dụng mà còn chứa bằng chứng cho thấy các công cụ đó đã được triển khai chống lại các nạn nhân thực tế.

Nội dung
Chi tiết về Máy Chủ Bị Phơi Bày và Phát Hiện Xâm Nhập
Cấu Trúc và Phân Loại Bộ Công Cụ Ransomware
Phân Tích Chuyên Sâu Kịch Bản Tiền Mã Hóa: z1.bat
Vô Hiệu Hóa Sản Phẩm Bảo Mật và Ứng Dụng Doanh Nghiệp
Thiết Lập Duy Trì Quyền Truy Cập và Xóa Dấu Vết
Chỉ Số Thỏa Hiệp (IoC) và Biện Pháp Đối Phó An Ninh Mạng
IoC Phía Endpoint:
IoC Phía Mạng và Biện Pháp Ngăn Chặn:
Khuyến Nghị Tăng Cường Cấu Hình (Hardening):

Chi tiết về Máy Chủ Bị Phơi Bày và Phát Hiện Xâm Nhập

Máy chủ bị phát hiện nằm tại địa chỉ IP 176.120.22[.]127, hoạt động trên cổng 80 thông qua hạ tầng của Proton66 OOO. Đây là một hệ thống tự trị có lịch sử liên quan đến các chiến dịch mã độc SuperBlack ransomware, WeaXor và XWorm.

Các nhà phân tích của Hunt.io đã xác định thư mục mở bị phơi bày vào ngày 12 tháng 3 năm 2026. Phát hiện này được thực hiện trong quá trình điều tra các chỉ số thỏa hiệp (IoC) đã được công bố trong báo cáo trước đó của CyberXTron về nhóm TheGentlemen ransomware.

Sử dụng khả năng tìm kiếm IoC của AttackCapture, truy vấn đã trả về một kết quả duy nhất, chỉ thẳng đến máy chủ không yêu cầu xác thực này. Máy chủ đã hoạt động ít nhất 24 ngày trước khi được phân tích.

Cấu Trúc và Phân Loại Bộ Công Cụ Ransomware

Thư mục bị lộ chứa tổng cộng 126 tệp trên 18 thư mục con, với tổng dung lượng khoảng 140 megabyte tài liệu vận hành. Mỗi script được phân tích trên máy chủ đều được tự động phân loại là độc hại, rơi vào hai loại chính:

  • Exploit: Bao gồm các script nhằm thay đổi cài đặt bảo mật và leo thang đặc quyền.
  • Config: Bao gồm các script chứa các token xác thực nhạy cảm.

Phân tích tệp văn bản dựa trên AI đã đánh dấu các quy trình đánh cắp thông tin xác thực (credential dumping), các chuỗi vô hiệu hóa Windows Defender, xóa nhật ký sự kiện, thiết lập đường hầm ngrok và các cơ chế duy trì quyền truy cập (persistence) trên nhiều tệp khác nhau. Đây là những kỹ thuật phổ biến trong các bộ công cụ ransomware.

Phân Tích Chuyên Sâu Kịch Bản Tiền Mã Hóa: z1.bat

Tệp quan trọng nhất trong toàn bộ thư mục là z1.bat, một script batch dung lượng 35 kilobyte, mang số lượng chỉ báo mã độc cao nhất so với bất kỳ tệp nào trên máy chủ. Script này tổng hợp gần như mọi bước chuẩn bị trước khi mã hóa thành một lần thực thi duy nhất, được thiết kế để chạy ngay trước khi triển khai ransomware khi tốc độ là yếu tố ưu tiên hàng đầu, cho thấy rõ ràng cách một bộ công cụ ransomware thực chiến hoạt động.

Vô Hiệu Hóa Sản Phẩm Bảo Mật và Ứng Dụng Doanh Nghiệp

Script bắt đầu bằng cách xóa và vô hiệu hóa một cách có hệ thống các dịch vụ liên quan đến hơn mười nhà cung cấp bảo mật, bao gồm Sophos, Kaspersky, Trend Micro, McAfee, ESET, Webroot, AVG, Malwarebytes, Panda và Quick Heal.

Sau đó, z1.bat mở rộng logic dừng và vô hiệu hóa tương tự cho các ứng dụng doanh nghiệp. Điều này bao gồm hơn 30 dịch vụ Microsoft Exchange, cơ sở dữ liệu Oracle, MySQL, nhiều phiên bản Tomcat, hạ tầng sao lưu Veeam và Hyper-V. Việc dừng các dịch vụ này đảm bảo khả năng mã hóa tối đa trên các cơ sở dữ liệu Exchange, tệp SQL Server và kho lưu trữ sao lưu, những nơi chứa các tệp mà ransomware cần truy cập.

Ngoài việc chấm dứt dịch vụ, z1.bat thực hiện một cuộc xóa bỏ trên toàn bộ registry, nhắm mục tiêu vào các mục nhập sản phẩm bảo mật từ gần 20 nhà cung cấp khác nhau. Điều này bao gồm các phiên bản Kaspersky qua gần một thập kỷ phát hành, bộ sản phẩm McAfee đầy đủ và các sản phẩm bổ sung như Bitdefender, COMODO, ESET, Avira, Norton và Qihoo 360.

Thiết Lập Duy Trì Quyền Truy Cập và Xóa Dấu Vết

Script cũng tạo các chia sẻ SMB mở trên mọi ký tự ổ đĩa từ C đến K, cấp quyền truy cập đầy đủ cho tất cả người dùng. Điều này cho phép ransomware đang chạy trên bất kỳ máy chủ bị xâm nhập nào có thể tiếp cận mọi ổ đĩa được chia sẻ trên mạng, là một thành phần cốt lõi của bộ công cụ ransomware này.

Z1.bat cài đặt các chuyển hướng trình gỡ lỗi Image File Execution Options (IFEO) trên các công cụ trợ năng của Windows, bao gồm sethc.exe, utilman.exe, Magnify.exe và HelpPane.exe, thay thế chúng bằng cmd[.]exe. Đây là “backdoor Sticky Keys” cổ điển, cho phép mở một cửa sổ dòng lệnh cấp độ SYSTEM trực tiếp từ màn hình đăng nhập Windows.

Kết hợp với việc kích hoạt RDP, vô hiệu hóa Network Level Authentication và tắt UAC, điều này tạo ra quyền truy cập dai dẳng (persistent access) tồn tại ngay cả khi các công cụ truy cập từ xa khác bị gỡ bỏ.

Script kết thúc bằng cách xóa tất cả Volume Shadow Copies, xóa tất cả các kênh nhật ký sự kiện của Windows, làm sạch Thùng rác và chấm dứt tất cả các quy trình có PID lớn hơn 1000. Điều này hiệu quả làm sạch môi trường thực thi để khởi chạy ransomware, che giấu các dấu vết của bộ công cụ ransomware.

Chỉ Số Thỏa Hiệp (IoC) và Biện Pháp Đối Phó An Ninh Mạng

Các nhóm bảo mật cần theo dõi chặt chẽ một số hành vi liên quan trực tiếp đến bộ công cụ ransomware này. Việc triển khai các giải pháp an ninh mạng toàn diện là cần thiết để đối phó với những mối đe dọa này. Việc nắm bắt các chỉ số này là cực kỳ quan trọng để bảo vệ hệ thống khỏi các mối đe dọa từ bộ công cụ ransomware tương tự.

IoC Phía Endpoint:

  • Thực thi PowerRun.
  • Thay đổi trạng thái dịch vụ Windows Defender hàng loạt.
  • Xóa nhật ký sự kiện dựa trên batch sử dụng wevtutil.
  • Truy cập bộ nhớ LSASS phù hợp với hành vi của Mimikatz.
  • Sửa đổi trình gỡ lỗi IFEO trên các tệp nhị phân trợ năng.
  • Thay đổi registry WDigest.
  • Tạo chia sẻ mạng hàng loạt.

IoC Phía Mạng và Biện Pháp Ngăn Chặn:

  • Chặn các kết nối đến địa chỉ IP: 176.120.22[.]127.
  • Theo dõi hoạt động đường hầm ngrok hướng đến hạ tầng ngrok.
  • Cảnh báo về việc thực thi vssadmin.exe Delete Shadows.
  • Các mẫu vô hiệu hóa dịch vụ hàng loạt.
  • Sửa đổi registry EnableLUA.

Khuyến Nghị Tăng Cường Cấu Hình (Hardening):

Để tăng cường bảo mật và giảm thiểu rủi ro, các tổ chức nên thực hiện các biện pháp sau. Khuyến Nghị Tăng Cường Cấu Hình (Hardening) giúp tổ chức củng cố hàng rào phòng thủ chống lại các yếu tố của bộ công cụ ransomware.

  • Kích hoạt Credential Guard để bảo vệ thông tin xác thực.
  • Duy trì các bản sao lưu bất biến (immutable backups) ngoại tuyến.
  • Kích hoạt tính năng bảo vệ chống giả mạo (tamper protection) trên endpoint.
  • Kiểm tra các Đối tượng Chính sách Nhóm (GPO) để phát hiện các thay đổi trái phép đối với Defender.
  • Triển khai danh sách trắng ứng dụng (application whitelisting) trong các thư mục có thể ghi bởi người dùng.