Ransomware The Gentlemen đã nổi lên như một mối đe dọa mạng có tốc độ tăng trưởng nhanh, tập trung vào nhiều môi trường hệ thống doanh nghiệp, bao gồm Windows, Linux, NAS, BSD và VMware ESXi. Nhóm này xuất hiện công khai vào nửa sau năm 2025 và nhanh chóng trở thành một trong các chiến dịch mã độc ransomware hoạt động mạnh nhất vào đầu năm 2026.
Phạm vi tấn công của Ransomware The Gentlemen
Điểm đáng chú ý của Ransomware The Gentlemen không chỉ nằm ở tốc độ mở rộng mà còn ở phạm vi hệ thống bị nhắm mục tiêu. Nhóm này được ghi nhận đã tấn công đồng thời nhiều nền tảng hạ tầng khác nhau, từ máy trạm, máy chủ đến hệ thống ảo hóa và lưu trữ mạng. Cách tiếp cận đa nền tảng giúp chiến dịch ransomware có thể gây gián đoạn trên diện rộng chỉ trong một đợt xâm nhập.
Đến ngày 10/05/2026, nhóm đã công khai nhận trách nhiệm cho 352 vụ tấn công trong nửa đầu năm 2026. Dữ liệu từ trang rò rỉ cho thấy nạn nhân phân bố trên hơn 70 quốc gia, với sự hiện diện đáng kể tại APAC, châu Âu, Mỹ Latin và Bắc Mỹ. Các lĩnh vực bị ảnh hưởng nhiều nhất gồm dịch vụ chuyên nghiệp, sản xuất, công nghệ và y tế.
Chuỗi xâm nhập và mô hình hoạt động
Chuỗi xâm nhập mạng của nhóm thường bắt đầu từ tài khoản bị đánh cắp hoặc các dịch vụ từ xa bị lộ ra Internet. Sau khi có quyền truy cập ban đầu, kẻ tấn công triển khai ransomware trên toàn bộ hệ thống để mã hóa dữ liệu và làm gián đoạn hoạt động.
Trước khi mã hóa, nhóm còn đánh cắp dữ liệu để tăng sức ép thương lượng. Cách làm này khiến nạn nhân đối mặt đồng thời với nguy cơ khóa hệ thống và rò rỉ dữ liệu nhạy cảm nếu từ chối thanh toán. Cơ chế hai tầng này là đặc trưng của mô hình mã độc tống tiền hiện đại.
Hệ sinh thái vận hành và liên kết kỹ thuật
Phân tích của LevelBlue cho thấy The Gentlemen không phải là một hoạt động hoàn toàn mới. Nhóm này được cho là tiếp nối một chuỗi hoạt động affiliate ransomware trước đó, với nền tảng vận hành có kinh nghiệm, mạng lưới cộng tác và hạ tầng đã sẵn có. Thông tin chi tiết có thể xem tại báo cáo của LevelBlue: A closer look at The Gentlemen’s alleged leak.
Mô hình affiliate panel của nhóm cho phép tạo payload tùy chỉnh, quản lý thương lượng nạn nhân, ước lượng doanh thu tiền chuộc và tải dữ liệu bị đánh cắp lên backend tập trung. Cách tổ chức này giúp chiến dịch ransomware vận hành theo kiểu công nghiệp, giảm thời gian triển khai và mở rộng phạm vi tấn công.
Kỹ thuật mã hóa và tác động lên hệ thống
Phiên bản Windows của Ransomware The Gentlemen được viết bằng Go và yêu cầu mật khẩu khi thực thi. Cơ chế này giúp giảm khả năng bị phát hiện sớm và cản trở phân tích bằng sandbox. Tệp bị mã hóa sẽ được gắn phần mở rộng ngẫu nhiên gồm 6 ký tự, còn ghi chú đòi tiền chuộc được đặt tên READMEGENTLEMEN.txt.
Cơ chế mã hóa được tối ưu để gây thiệt hại nhanh. Tệp nhỏ bị mã hóa toàn bộ, trong khi tệp lớn chỉ bị mã hóa theo từng đoạn. Cách này giúp malware lan qua môi trường lớn nhanh hơn, đồng thời vẫn làm cho quá trình khôi phục gần như không khả thi nếu không có decryptor.
Trước khi mã hóa, ransomware sẽ dừng các dịch vụ liên quan đến cơ sở dữ liệu, sao lưu, ảo hóa và công cụ truy cập từ xa. Mục tiêu là ngăn hệ thống phục hồi dễ dàng và làm tăng mức độ gián đoạn vận hành.
Tác động đặc biệt lên ESXi và hạ tầng ảo hóa
Tấn công vào ESXi và hạ tầng ảo hóa đặc biệt nguy hiểm vì có thể làm tê liệt toàn bộ cụm máy chủ trong thời gian ngắn. Trong bối cảnh đó, hệ thống bị tấn công không chỉ mất dữ liệu mà còn mất khả năng vận hành các dịch vụ phụ thuộc vào máy ảo.
Ngay cả khi tổ chức khôi phục được từ backup, nguy cơ rò rỉ dữ liệu, hậu quả tuân thủ và tổn thất vận hành vẫn còn tồn tại nếu dữ liệu đã bị exfiltrate trước đó. Đây là lý do các chiến dịch mã độc ransomware dạng kép thường tạo ra áp lực lớn hơn so với chỉ mã hóa đơn thuần.
Chỉ dấu nhận biết và IOC
Nội dung gốc không cung cấp danh sách IOC định danh như hash, IP, domain hoặc URI liên quan trực tiếp. Phần “Indicators of Compromise” trong tài liệu chỉ ghi chú rằng các địa chỉ IP và domain được làm mờ để tránh truy cập ngoài ý muốn.
- Tên ghi chú tống tiền: READMEGENTLEMEN.txt
- Phần mở rộng tệp bị mã hóa: Ngẫu nhiên, dài 6 ký tự
- Nền tảng bị nhắm mục tiêu: Windows, Linux, NAS, BSD, VMware ESXi
- Hành vi tiền xâm nhập: Dùng tài khoản bị đánh cắp hoặc dịch vụ từ xa lộ diện
- Hành vi hậu xâm nhập: Dừng dịch vụ sao lưu, database, ảo hóa và remote access
Dấu hiệu quan sát trong điều tra và phát hiện xâm nhập
LevelBlue khuyến nghị săn tìm các hành vi giai đoạn đầu thay vì chờ đến khi ransomware xuất hiện. Trong điều tra phát hiện xâm nhập, các tín hiệu cần chú ý gồm đăng nhập quản trị bất thường, công cụ quét mạng, công cụ truy cập từ xa không mong đợi và thay đổi chính sách nhóm.
- Đăng nhập quản trị bất thường
- Nmap hoặc Advanced IP Scanner xuất hiện trong hệ thống
- Sử dụng không mong đợi của AnyDesk hoặc WinSCP
- Thay đổi Group Policy
- Shutdown hàng loạt dịch vụ
Biện pháp giảm rủi ro bảo mật
Nhóm nghiên cứu khuyến nghị kiểm tra toàn bộ hạ tầng internet-facing, đặc biệt là VPN, firewall và các cổng truy cập từ xa, sau đó áp dụng multi-factor authentication cho mọi tài khoản đặc quyền. Đây là bước giảm thiểu quan trọng đối với các chiến dịch ransomware khai thác tài khoản hợp lệ.
Thông tin xác thực từng bị lộ trong các sự cố trước đó hoặc bị đánh cắp bởi information-stealing malware cần được xoay vòng ngay lập tức. Các tài khoản cũ, không còn sử dụng cũng phải bị vô hiệu hóa để giảm nguy cơ xâm nhập trái phép.
Backup và môi trường ESXi cần được tách biệt khỏi domain chính, đồng thời kiểm thử định kỳ khả năng khôi phục. Nếu không có sự cô lập này, một đợt cuộc tấn công ransomware có thể đồng thời làm hỏng cả hệ thống sản xuất và bản sao lưu.
Liên kết tham chiếu kỹ thuật
Tham khảo thêm tài liệu về giám sát và chỉ dấu tấn công tại CISA và dữ liệu cảnh báo về ransomware trên NVD.
Trong thực tế vận hành, việc ưu tiên an toàn thông tin cần tập trung vào quản trị tài khoản, giám sát hành vi truy cập, cô lập sao lưu và theo dõi các thay đổi bất thường ở hệ thống ảo hóa. Với mô hình Ransomware The Gentlemen, các tổ hợp kiểm soát này có tác động trực tiếp đến khả năng ngăn chặn hệ thống bị xâm nhập và hạn chế thiệt hại lan rộng.
