Một khuôn khổ tấn công phức tạp, được đặt tên là GentleKiller, đã được nhóm ransomware-as-a-service (RaaS) Gentlemen sử dụng để vô hiệu hóa có hệ thống các công cụ bảo mật điểm cuối trước khi triển khai tải trọng ransomware của chúng. Phát hiện này nhấn mạnh một mối đe dọa ngày càng tăng đối với các tổ chức dựa vào các giải pháp bảo mật truyền thống.
GentleKiller: Khuôn khổ Giết EDR tinh vi
GentleKiller là một khuôn khổ nội bộ chuyên dụng, được thiết kế để vô hiệu hóa các giải pháp Quản lý Phát hiện và Phản hồi (EDR). Nó bao gồm ít nhất tám biến thể riêng biệt, mỗi biến thể giả mạo một sản phẩm bảo mật hợp pháp khác nhau. Điều này cho phép kẻ tấn công né tránh sự phát hiện của các công cụ bảo mật mà chúng đang cố gắng vô hiệu hóa.
Kỹ thuật Bring Your Own Vulnerable Driver (BYOVD)
Cốt lõi của GentleKiller là kỹ thuật Bring Your Own Vulnerable Driver (BYOVD). Kỹ thuật này liên quan đến việc tải một trình điều khiển (driver) đã được ký hợp lệ nhưng có lỗ hổng. Trình điều khiển này sau đó có thể được sử dụng để chấm dứt các tiến trình bảo mật ở cấp độ nhân (kernel level), vượt qua các biện pháp bảo vệ ở chế độ người dùng (user-mode).
Cơ chế này đặc biệt nguy hiểm vì nó tận dụng các trình điều khiển có sẵn, đôi khi được ký bởi các nhà cung cấp phần mềm hợp pháp, để thực hiện các hành động độc hại. Điều này làm phức tạp thêm việc phát hiện và phân tích, vì các tệp tin độc hại có thể trông giống như các thành phần hệ thống hợp pháp.
Phạm vi Tấn công của GentleKiller
GentleKiller nhắm mục tiêu vào hơn 400 tiến trình, tương ứng với 48 sản phẩm bảo mật khác nhau. Danh sách các sản phẩm bị ảnh hưởng bao gồm các giải pháp hàng đầu trong ngành như Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Palo Alto Networks, ESET, Bitdefender, Kaspersky và McAfee/Trellix.
Khuôn khổ này hoạt động theo một vòng lặp, định kỳ quét và chấm dứt các tiến trình mục tiêu cứ sau hai giây. Sự giám sát liên tục này đảm bảo rằng các dịch vụ bảo mật bị vô hiệu hóa một cách hiệu quả và liên tục, tạo điều kiện thuận lợi cho việc triển khai payload ransomware.
Các Biến thể Trình điều khiển Bị Lạm dụng
Tám biến thể của GentleKiller lạm dụng các trình điều khiển từ các nguồn sau:
- Kaspersky (eb.sys)
- FACEIT Anti-Cheat (nseckrnl.sys)
- Valorant (GameDriverX64.sys)
- Javelin/Safetica (stpm_old.sys/stpm_new.sys)
- Zemana WatchDog (dmx.sys)
- Qihoo 360 (360netmon_wfp.sys)
- IObit (IMFForceDelete)
- PoisonX rootkit
Việc sử dụng đa dạng các trình điều khiển từ các nhà cung cấp khác nhau cho thấy sự chuẩn bị kỹ lưỡng và khả năng thích ứng của GentleKiller.
Khả năng Thích ứng và Tích hợp Nhanh chóng
Một khả năng đặc trưng của nhóm Gentlemen là sự vận hành nhanh chóng các bản khai thác BYOVD mới được công bố. Các công cụ như UnknownKiller và PoisonKiller đã được tích hợp vào kho vũ khí của GentleKiller chỉ vài ngày sau khi chúng được công bố trên GitHub. Điều này chứng tỏ một quy trình phát triển mạnh mẽ và linh hoạt.
Khả năng thích ứng nhanh chóng này phân biệt Gentlemen với hầu hết các nhà điều hành RaaS khác, những người thường mất nhiều tuần hoặc nhiều tháng để điều chỉnh các bản khai thác được phát hành công khai thành các công cụ sẵn sàng sản xuất. Tốc độ này làm tăng đáng kể nguy cơ bảo mật cho các tổ chức.
Bổ sung các Công cụ Tấn công Bên ngoài
Ngoài GentleKiller, Gentlemen còn tích hợp ba công cụ EDR killer có nguồn gốc bên ngoài vào bộ công cụ dành cho các chi nhánh của mình. Tất cả ba công cụ này đều được chuẩn hóa thông qua một lớp phòng thủ được chia sẻ, áp dụng các trình bảo vệ nhị phân Enigma hoặc Themida. Chúng cũng giả mạo các nhà cung cấp bảo mật bằng thông tin phiên bản, chữ ký số sao chép và biểu tượng phù hợp.
Gentlemen áp dụng chiến lược né tránh của mình ở cấp độ nhị phân đã biên dịch, cho phép nó bảo vệ ngay cả các công cụ EDR mà nó không sở hữu mã nguồn. Điều này tạo ra những thách thức đáng kể trong việc quy kết, vì các công cụ từ các nhóm ransomware khác nhau xuất hiện gần như giống hệt nhau sau khi được xử lý qua quy trình chuẩn hóa của Gentlemen.
OxideHarvest: Công cụ Đánh cắp Thông tin Xác thực
Nhóm này cũng sử dụng OxideHarvest, một công cụ đánh cắp thông tin xác thực được viết bằng Rust. OxideHarvest thu thập thông tin xác thực từ các trình duyệt dựa trên Chromium và Gecko trên các máy chủ bị xâm nhập. Đây là một phần của chiến lược rộng lớn hơn nhằm thu thập thông tin nhạy cảm và leo thang đặc quyền.
Chiến lược Hoạt động và Nhắm mục tiêu
Gentlemen xuất hiện vào cuối năm 2025 với tư cách là một hoạt động RaaS được thành lập bởi hastalamuerte, một cựu chi nhánh của Qilin. Nhóm này nhanh chóng trở thành một trong năm nhóm ransomware hoạt động mạnh nhất trong Quý 1 năm 2026.
Khác với hầu hết các nhóm ransomware lớn tập trung mạnh vào các mục tiêu ở Hoa Kỳ, Gentlemen cố tình nhắm mục tiêu vào các nạn nhân ở Đông Nam Á, Nam Mỹ và Tây Âu. Họ chọn mục tiêu chủ yếu dựa trên các cấu hình sai của FortiGate thay vì các tiêu chí địa lý.
Nhóm này đã bị phơi bày thêm bởi một vụ rò rỉ dữ liệu nội bộ vào tháng 5 năm 2026. Vụ rò rỉ xác nhận rằng các nhà điều hành của họ tích cực phát triển, duy trì và phân phối GentleKiller cùng với bộ công cụ EDR killer rộng lớn hơn cho các chi nhánh đã được xác minh.
Gentlemen đưa ra tỷ lệ chia sẻ doanh thu hào phóng bất thường là 90% cho các chi nhánh, làm giảm rào cản gia nhập và đẩy nhanh việc tuyển dụng chi nhánh của họ. Điều này làm tăng sức hấp dẫn của dịch vụ RaaS đối với các tác nhân đe dọa.
Khuyến nghị Bảo mật
Các nhóm bảo mật nên ưu tiên danh sách cho phép trình điều khiển (driver allowlisting) và thực thi Danh sách Chặn Trình điều khiển Dễ bị tổn thương của Microsoft để ngăn chặn các cuộc tấn công kiểu BYOVD. Hơn nữa, các chuyên gia phòng thủ nên theo dõi thư mục dàn dựng GentlemenCollection và các sự kiện tải trình điều khiển nhân bất thường.
Việc tương quan các mẫu chấm dứt tiến trình, đặc biệt là các tiến trình nhắm mục tiêu vào phần mềm bảo mật cùng với các sự kiện cài đặt trình điều khiển, vẫn là tín hiệu phát hiện hành vi đáng tin cậy nhất chống lại GentleKiller và các biến thể của nó. Theo dõi chặt chẽ các hoạt động bất thường là chìa khóa để tăng cường an ninh mạng.
Để tìm hiểu thêm về các mối đe dọa và lỗ hổng bảo mật mới nhất, hãy tham khảo các nguồn thông tin uy tín như NVD (National Vulnerability Database) tại nvd.nist.gov. Việc cập nhật thông tin thường xuyên giúp đội ngũ IT có thể đưa ra các biện pháp đối phó kịp thời, giảm thiểu tối đa rủi ro bảo mật.
