Gentlemen ransomware, một biến thể mã độc ransomware mới nổi, được phát hiện lần đầu vào tháng 8 năm 2025. Nhóm này nhanh chóng trở thành một mối đe dọa đáng kể, nhắm mục tiêu vào các mạng lưới doanh nghiệp trên toàn cầu. Hoạt động dựa trên mô hình tống tiền kép (double extortion), Gentlemen ransomware không chỉ mã hóa dữ liệu mà còn đánh cắp thông tin nhạy cảm trước đó, đảm bảo khả năng gây áp lực ngay cả khi nạn nhân có bản sao lưu.
Mối Đe Dọa Mạng Toàn Cầu từ Gentlemen Ransomware
Biến thể mã độc này được phát triển bằng ngôn ngữ lập trình Go, cho phép thực thi đa nền tảng hiệu quả và mang lại hiệu suất mạnh mẽ trong nhiều môi trường doanh nghiệp khác nhau. Sự lựa chọn Go thể hiện mục tiêu tối ưu hóa khả năng tấn công trên diện rộng, từ hệ điều hành Windows đến Linux, giúp mã độc dễ dàng thích nghi và hoạt động ổn định trên các cơ sở hạ tầng đa dạng của nạn nhân.
Các báo cáo chỉ ra rằng Gentlemen ransomware đã ảnh hưởng đến các tổ chức ở ít nhất 17 quốc gia, trải dài trong nhiều ngành công nghiệp đa dạng như y tế, sản xuất và bảo hiểm. Sự bành trướng nhanh chóng của nó ở các khu vực như Bắc Mỹ, Nam Mỹ và Trung Đông nhấn mạnh sự cần thiết cấp bách của việc giám sát liên tục để bảo vệ an ninh mạng.
Các nhà phân tích từ ASEC đã ghi nhận rằng Gentlemen đã trở thành một trong những nhóm ransomware mới nổi tích cực nhất vào năm 2025 nhờ vào các quy trình lây nhiễm tinh vi của chúng. Nhóm này dường như nhắm mục tiêu cụ thể vào các tổ chức quy mô từ trung bình đến lớn, sử dụng các kỹ thuật né tránh phát hiện để vượt qua các hệ thống giám sát bảo mật tiêu chuẩn, gây ra những mối đe dọa mạng nghiêm trọng.
Để tìm hiểu thêm về phân tích này, bạn có thể tham khảo báo cáo chi tiết từ ASEC: Gentlemen Ransomware Group and its Sophisticated Propagation Procedures. Báo cáo này cung cấp cái nhìn sâu sắc về các chiến thuật và kỹ thuật mà nhóm này sử dụng trong các chiến dịch tấn công ransomware của mình.
Chi Tiết Kỹ Thuật và Cơ Chế Hoạt Động
Kỹ Thuật Né Tránh Phát Hiện và Lan Truyền
Nhóm tấn công của Gentlemen ransomware sử dụng các chiến thuật tiên tiến như thao túng Group Policy Objects (GPO) và kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) để xâm nhập hệ thống. Các phương pháp này cho phép chúng vô hiệu hóa các biện pháp phòng thủ bảo mật và lây lan nội bộ trên toàn mạng một cách hiệu quả.
Việc lợi dụng các driver dễ bị tổn thương (BYOVD) cung cấp cho mã độc khả năng thực thi ở cấp độ kernel, vượt qua nhiều lớp bảo mật thông thường của hệ điều hành. Kỹ thuật này đặc biệt nguy hiểm vì nó cấp cho kẻ tấn công quyền kiểm soát sâu rộng đối với hệ thống, làm suy yếu khả năng phòng thủ và tạo điều kiện cho các hoạt động độc hại diễn ra mà không bị phát hiện.
Thao túng GPO cho phép kẻ tấn công thay đổi các thiết lập bảo mật và chính sách hệ thống trên nhiều máy tính trong mạng, từ đó tạo ra cửa hậu để mã độc lan truyền và duy trì sự hiện diện một cách bền vững.
Kiểm Soát Thực Thi Mã Độc
Khi thực thi, mã độc bắt đầu một quy trình phân tích đối số dòng lệnh nghiêm ngặt, được thiết kế để kiểm soát chặt chẽ hành vi của nó. Một tính năng quan trọng là yêu cầu đối số --password cụ thể; nếu không có thông tin xác thực hợp lệ này, mã độc ransomware sẽ chấm dứt ngay lập tức, ngăn chặn việc thực thi không mong muốn.
Kỹ thuật chống phân tích đơn giản nhưng hiệu quả này ngăn chặn các nhà nghiên cứu bảo mật thực thi payload trong môi trường sandbox để phân tích sâu hơn. Nó buộc các nhà phân tích phải có mật khẩu chính xác, điều này làm chậm quá trình điều tra và ứng phó sự cố.
Các nhà điều hành mã độc có thể chỉ định nhiều chế độ khác nhau thông qua các đối số dòng lệnh để tùy chỉnh hành vi của Gentlemen ransomware:
--silent: Tránh việc đổi tên file.--full: Nhắm mục tiêu cả ổ đĩa cục bộ và chia sẻ mạng.--fast: Mã hóa 9% nội dung file cho các file lớn để tối ưu hóa tốc độ.--ultrafast: Mã hóa 1% nội dung file cho các file lớn để đạt tốc độ nhanh nhất.
Các đối số thực thi của Gentlemen làm nổi bật các tùy chọn lệnh mở rộng này, cho phép tùy chỉnh hành vi tấn công ransomware tùy theo mục tiêu cụ thể và điều kiện môi trường.
# Ví dụ lệnh thực thi (giả định)
./gentlemen.exe --password "secret_key_123" --full --silent
Vô Hiệu Hóa Hệ Thống Phòng Thủ
Trước khi bắt đầu quá trình mã hóa, mã độc ransomware Gentlemen thực hiện các bước để vô hiệu hóa các biện pháp bảo mật và dịch vụ hệ thống quan trọng. Cụ thể, nó tắt Windows Defender và chấm dứt các dịch vụ sao lưu và cơ sở dữ liệu phổ biến, bao gồm Veeam, MSSQL và MongoDB.
Hành động này đảm bảo rằng các file không bị khóa bởi các quy trình khác trong quá trình mã hóa và đồng thời cản trở nghiêm trọng các nỗ lực khôi phục dữ liệu của nạn nhân. Bằng cách vô hiệu hóa các công cụ phòng vệ và sao lưu, kẻ tấn công tối đa hóa thiệt hại và tăng khả năng thành công của cuộc tấn công ransomware.
Cơ Chế Mã Hóa Dữ Liệu
Giai đoạn mã hóa của Gentlemen ransomware sử dụng thuật toán X25519 cho việc trao đổi khóa và XChaCha20 để mã hóa file. Mã độc tạo ra các khóa độc nhất cho mỗi file, đảm bảo rằng mỗi file được mã hóa độc lập, làm phức tạp quá trình giải mã và khôi phục.
Khóa công khai của kẻ tấn công được giải mã trực tiếp trong bộ nhớ để tạo ra các bí mật chia sẻ (shared secrets), một kỹ thuật giúp tránh để lại dấu vết trên đĩa và gây khó khăn cho việc phân tích pháp y. Đối với các file có kích thước lớn, Gentlemen ransomware thực hiện mã hóa chọn lọc các phân đoạn dựa trên tỷ lệ phần trăm được xác định nhằm tối ưu hóa tốc độ.
Ví dụ, mã hóa 9% đối với chế độ --fast hoặc 1% đối với chế độ --ultrafast. Kỹ thuật mã hóa từng phần này làm cho dữ liệu trở nên không thể sử dụng được mà không cần phải mã hóa toàn bộ file, tiết kiệm thời gian đáng kể trong các chiến dịch tấn công ransomware quy mô lớn.
Sau khi hoàn tất quá trình mã hóa, một file ghi chú tống tiền có tên README-GENTLEMEN.txt sẽ được tạo ra trong tất cả các thư mục đã xử lý. Ghi chú này cung cấp hướng dẫn cho nạn nhân về cách liên hệ với kẻ tấn công và thực hiện thanh toán để nhận lại khóa giải mã, hoàn tất chuỗi tấn công của nhóm mã độc ransomware Gentlemen và gây ra mối đe dọa mạng nghiêm trọng cho doanh nghiệp.
