Ransomware đang tiếp tục là một mối đe dọa mạng nổi bật trong năm 2026 khi The Gentlemen, một mô hình ransomware-as-a-service (RaaS), nhanh chóng mở rộng quy mô hoạt động với khoảng 332 nạn nhân được công bố chỉ trong 5 tháng đầu năm 2026.
Mô hình hoạt động của ransomware RaaS
The Gentlemen vận hành theo mô hình tiếp thị liên kết, quảng bá nền tảng trên các diễn đàn ngầm và mời các cộng tác viên tham gia như đối tác tấn công. Theo cấu trúc chia lợi nhuận được mô tả, cộng tác viên nhận 90% tiền chuộc, trong khi nhà vận hành giữ 10%.
Cơ chế chia thưởng này giúp thu hút nhiều người tham gia, từ đó đẩy nhanh tốc độ mở rộng chiến dịch ransomware. Dù là mô hình phân tán, hoạt động của nhóm vẫn được tổ chức chặt chẽ với vai trò quản trị, vận hành nền tảng, xâm nhập ban đầu và thương lượng tiền chuộc.
Ransomware và chuỗi tấn công ban đầu
Nhóm này thường tiếp cận mục tiêu từ lớp biên mạng. Điểm vào chính là các thiết bị edge đang lộ ra Internet, đặc biệt là Fortinet FortiGate VPN và một số hệ thống Cisco. Khi phát hiện thiết bị có cấu hình sai hoặc tồn tại lỗ hổng, chúng dùng đó làm cổng xâm nhập vào mạng nội bộ.
Để có foothold ban đầu, nhóm kết hợp nhiều kỹ thuật: brute-force cổng đăng nhập, khai thác lỗ hổng CVE, và mua quyền truy cập sẵn từ các môi giới trên thị trường ngầm. Đây là đặc trưng thường thấy trong các chiến dịch cảnh báo CVE liên quan đến thiết bị biên.
Các CVE được theo dõi
- CVE-2024-55591: Ảnh hưởng đến giao diện quản trị FortiOS.
- CVE-2025-32433: Lỗ hổng SSH liên quan đến Erlang, có tác động trong môi trường Cisco.
- CVE-2025-33073: Liên quan đến các cuộc tấn công NTLM relay.
Tham khảo cơ sở dữ liệu lỗ hổng tại NVD: https://nvd.nist.gov/.
Lỗ hổng CVE và kỹ thuật khai thác truy cập
Trong một trường hợp được ghi nhận, một operator có biệt danh qbit đã quét Fortinet VPN và thực hiện kiểm tra NTLM relay bằng công cụ RelayKing. Điều này cho thấy nhóm không chỉ khai thác trực tiếp lỗ hổng CVE mà còn kiểm tra khả năng bị relay của hệ thống để mở rộng đường vào.
Sau khi có quyền truy cập ban đầu, nhóm tiến hành trinh sát Active Directory, leo thang đặc quyền và vô hiệu hóa công cụ phòng vệ bằng các bộ công cụ né tránh được xây dựng riêng. Đây là giai đoạn then chốt trước khi triển khai ransomware lên hệ thống bị xâm nhập.
Di chuyển ngang và duy trì hiện diện
Để giữ quyền truy cập dài hạn, nhóm sử dụng tunneling qua các dịch vụ đám mây như Cloudflare. Cách làm này giúp lưu lượng điều khiển ẩn tốt hơn và giảm khả năng bị phát hiện trong quá trình phát hiện xâm nhập.
Nhóm cũng tiếp tục duy trì hiện diện trong hạ tầng bằng cách giám sát, trinh sát nội bộ và chuẩn bị môi trường trước khi kích hoạt mã hóa. Kết hợp giữa ransomware và kỹ thuật né tránh làm tăng nguy cơ bảo mật cho các tổ chức có thiết bị biên lộ Internet.
Ransomware, đánh cắp dữ liệu và gây áp lực tiền chuộc
The Gentlemen không chỉ mã hóa dữ liệu mà còn exfiltrate data trước khi kích hoạt locker. Dữ liệu bị đánh cắp được dùng làm đòn bẩy trong đàm phán, củng cố áp lực lên nạn nhân để tăng khả năng thanh toán.
Trong một vụ việc vào tháng 4/2026, nhóm xâm nhập một công ty tư vấn phần mềm tại Vương quốc Anh, lấy cắp dữ liệu khách hàng nhạy cảm, sau đó tái sử dụng dữ liệu này vài tuần sau để hỗ trợ một cuộc tấn công khác vào một công ty tại Thổ Nhĩ Kỳ. Trong chiến dịch này, nhóm công bố công ty tư vấn như một “access broker” trên trang rò rỉ dữ liệu của họ.
Kiểu tái sử dụng dữ liệu của nạn nhân trước đó cho mục tiêu sau cho thấy cách khai thác rò rỉ dữ liệu ngày càng được tổ chức theo hướng tác chiến. Các thư đòi tiền chuộc cũng tập trung vào rủi ro tuân thủ và tổn hại uy tín để ép nạn nhân trả tiền nhanh hơn.
Ransomware và chỉ dấu điều tra
Bài phân tích công khai không cung cấp danh sách IOC chi tiết như IP, domain hay hash trong phần trích dẫn hiện có. Vì vậy, không có IOC nào được trích xuất bổ sung ở đây.
Điểm cần lưu ý là các chỉ số hành vi gồm: quét Fortinet VPN, kiểm tra NTLM relay, trinh sát Active Directory, tắt EDR và sử dụng tunneling qua dịch vụ đám mây. Đây là các dấu hiệu hữu ích cho phát hiện tấn công trong môi trường doanh nghiệp.
Biện pháp giảm rủi ro bảo mật
Những mô hình tấn công như ransomware này cho thấy thiết bị Internet-facing cần được ưu tiên vá lỗi và giám sát chặt. Các tổ chức nên tập trung vào các hệ thống biên như VPN appliance và firewall, đặc biệt khi có liên quan đến lỗ hổng CVE đã được công bố.
Ghi nhận, giám sát và hardening các cấu hình Active Directory cũng là yêu cầu quan trọng để hạn chế di chuyển ngang và leo thang đặc quyền. Ngoài ra, giải pháp EDR cần có khả năng chống vô hiệu hóa để giảm rủi ro khi hệ thống đã bị xâm nhập.
Các bước ưu tiên
- Ưu tiên cập nhật bản vá cho VPN appliance, firewall và hệ thống quản trị lộ Internet.
- Theo dõi hoạt động NTLM relay và các dấu hiệu xác thực bất thường.
- Hardening Active Directory, kiểm soát đặc quyền và giảm bề mặt tấn công.
- Thiết lập cơ chế chống can thiệp cho EDR.
- Giám sát lưu lượng tunneling và các kết nối bất thường liên quan đến dịch vụ đám mây.
Tham chiếu kỹ thuật
Phân tích gốc về chiến dịch này đã được công bố bởi Check Point Research, trong đó mô tả cách nhóm tận dụng thiết bị Fortinet và Cisco để giành truy cập ban đầu, sau đó tiến hành ransomware và đánh cắp dữ liệu. Tài liệu tham chiếu có thể xem tại: https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/.
