Ransomware The Gentlemen đang tạo ra tin tức bảo mật đáng chú ý khi kết hợp cơ chế tự lây lan, mã hóa từng tệp và kỹ thuật che giấu bằng Garble. Mẫu mã độc này được viết bằng Go, hoạt động theo mô hình ransomware-as-a-service (RaaS) và được ghi nhận là có khả năng mở rộng phạm vi tấn công nhanh trên nhiều môi trường mạng.
Ransomware The Gentlemen Và Mô Hình RaaS
The Gentlemen xuất hiện lần đầu vào khoảng giữa năm 2025 dưới dạng nhóm đóng, sau đó mở cho các affiliates vào tháng 9/2025. Mô hình RaaS cho phép nhà phát triển cho thuê quyền truy cập vào mã độc, trong khi bên triển khai chịu trách nhiệm thực hiện tấn công.
Cách vận hành này làm tăng rủi ro bảo mật cho tổ chức vì hạ tầng tấn công có thể được tái sử dụng linh hoạt. Theo tài liệu phân tích kỹ thuật, nhóm vận hành còn tuyển dụng thêm các bên có khả năng xâm nhập ban đầu để thực hiện chiến dịch với quy mô lớn hơn.
Tham khảo thêm báo cáo kỹ thuật từ Microsoft: Microsoft Security Blog.
Đặc Điểm Kỹ Thuật Của Lỗ Hổng CVE Liên Quan Đến Mô Hình Tấn Công
Nội dung nguồn không nêu lỗ hổng CVE cụ thể, nhưng cho thấy ransomware này không phụ thuộc vào một CVE nghiêm trọng duy nhất. Thay vào đó, nó khai thác quyền thực thi, cơ chế tác vụ theo lịch, PowerShell remoting, PsExec và WMI để mở rộng phạm vi hoạt động.
Về mặt threat intelligence, The Gentlemen được mô tả là có hành vi double extortion: mã hóa dữ liệu nạn nhân và đồng thời đánh cắp tệp nhạy cảm để tống tiền bằng nguy cơ công khai dữ liệu.
Chuỗi Hoạt Động Chính
- Vô hiệu hóa công cụ antivirus.
- Xóa backup cục bộ.
- Dọn log hệ thống.
- Xóa dấu vết pháp chứng trước khi mã hóa.
- Tự sao chép sang máy khác trong cùng mạng nội bộ.
Chi Tiết Tấn Công Và Tác Động Hệ Thống
The Gentlemen sử dụng chiến lược tấn công nhiều lớp. Khi chạy trên máy nạn nhân, nó có thể leo lên SYSTEM account bằng cách tạo một Windows scheduled task có tên gentlemen_system. Sau khi tác vụ được tạo, malware xóa tác vụ cũ nếu tồn tại, đăng ký lại và kích hoạt ngay lập tức.
Ở ngữ cảnh đặc quyền cao, mã độc thiết lập biến môi trường LOCKER_BACKGROUND=1 để đánh dấu tiến trình đang chạy ở chế độ mã hóa nền với toàn quyền. Cơ chế này cho phép truy cập những tệp thường bị hạn chế ở mức user thông thường.
Tác động trên hệ thống gồm:
- Remote code execution nội bộ thông qua các cơ chế quản trị từ xa.
- Chiếm quyền điều khiển phiên làm việc với đặc quyền SYSTEM.
- Mã hóa ổ đĩa cục bộ bằng quyền cao nhất.
- Lan truyền sang các host khác trên cùng mạng.
Cơ Chế Tự Lây Lan Trong Ransomware The Gentlemen
Điểm nổi bật của ransomware The Gentlemen là khả năng tự nhân bản như một worm. Khi tính năng spread được kích hoạt, mã độc sẽ triển khai chính nó tới các máy mà nó có thể tiếp cận trong mạng nội bộ mà không cần tương tác thủ công.
Nó lưu binary vào thư mục chia sẻ, sao chép qua các network share có quyền quản trị và đồng thời thử nhiều cách thực thi trên máy từ xa. Mỗi host bị nhắm tới có thể chịu tới 21 lượt thử thực thi bằng nhiều kỹ thuật khác nhau.
Các Kỹ Thuật Thực Thi Từ Xa Được Ghi Nhận
- PsExec.
- WMI (Windows Management Instrumentation).
- Scheduled task ở cả ngữ cảnh user và SYSTEM.
- Windows services.
- PowerShell remoting.
Cơ chế dự phòng này khiến việc ngăn chặn khó khăn hơn, vì chỉ cần một phương thức thành công là chu kỳ lây lan có thể tiếp tục.
IOC Và Dấu Hiệu Nhận Biết
Nội dung gốc không cung cấp IOC dạng IP, domain hoặc hash. Do đó, phần IOC được trích xuất ở mức hành vi và artefact kỹ thuật có thể dùng cho phát hiện xâm nhập.
- Scheduled task name:
gentlemen_system - Environment variable:
LOCKER_BACKGROUND=1 - Hành vi: xóa backup, xóa log, xóa dấu vết pháp chứng.
- Hành vi: mã hóa tệp cục bộ sau khi leo thang đặc quyền.
- Hành vi: sao chép payload qua shared folder và administrative shares.
CLI Và Cách Vận Hành Nội Bộ
The Gentlemen cho phép điều khiển gần như toàn bộ hành vi bằng command-line arguments. Ngoài việc yêu cầu build-specific password để thực thi, tác giả mã độc có thể đặt tốc độ mã hóa, bật tính năng lan truyền mạng và lựa chọn phương thức persistence sau khi khởi động lại.
gentlemen.exe /password:<build-specific-password> /spread:on /speed:fast /persist:taskVí dụ trên chỉ mang tính minh họa theo mô tả kỹ thuật về cách tham số dòng lệnh kiểm soát hành vi. Nguồn gốc phân tích cho biết ransomware này đặc biệt linh hoạt vì có thể thay đổi cấu hình theo từng chiến dịch.
Bản Chất Mã Hóa Và Ảnh Hưởng Đến Dữ Liệu
Ransomware The Gentlemen thực hiện mã hóa theo từng tệp, sau đó đe dọa công bố dữ liệu đã đánh cắp nếu nạn nhân không thanh toán. Mô hình double extortion làm tăng nguy cơ bảo mật vì sự cố không chỉ dừng ở mất quyền truy cập dữ liệu mà còn liên quan đến rò rỉ dữ liệu nhạy cảm.
Các ngành bị ảnh hưởng được ghi nhận gồm giáo dục, y tế, giao thông và tài chính trên nhiều khu vực địa lý. Điều này cho thấy chiến dịch đã vượt ra khỏi phạm vi thử nghiệm đơn lẻ và đang được triển khai ở quy mô rộng.
Biện Pháp Phát Hiện Xâm Nhập Và Giảm Thiểu
Để giảm thiểu rủi ro bảo mật từ ransomware The Gentlemen, nội dung kỹ thuật khuyến nghị tập trung vào các lớp phòng thủ trên endpoint và kiểm soát hành vi từ xa.
- Bật Controlled Folder Access.
- Kích hoạt cloud-delivered antivirus protection.
- Chặn tiến trình sinh ra từ PsExec và WMI bằng attack surface reduction rules.
- Chạy EDR ở chế độ block.
- Bật automatic attack disruption để cô lập sớm khi phát hiện tấn công.
Trong bối cảnh phát hiện xâm nhập, các hệ thống IDS và EDR cần theo dõi đặc biệt hành vi tạo scheduled task bất thường, truy cập shared folder hàng loạt và hoạt động thực thi từ xa theo chuỗi.
Điểm Kỹ Thuật Cần Theo Dõi Trong Ransomware The Gentlemen
Ransomware The Gentlemen không chỉ là một biến thể mã hóa tệp thông thường. Nó kết hợp che giấu bằng Garble, viết bằng Go, sử dụng SYSTEM privileges, tự phát tán qua mạng và thực thi đa phương thức trên máy đích.
Đối với môi trường cần an toàn thông tin, việc phát hiện sớm các dấu hiệu như scheduled task lạ, thực thi PsExec/WMI bất thường và thao tác xóa log có thể giúp giảm thiểu mức độ hệ thống bị xâm nhập trước khi mã hóa lan rộng.
