Một mã độc ransomware The Gentlemen mới đã xuất hiện trong bối cảnh an ninh mạng, thể hiện khả năng tấn công tinh vi và mô hình hoạt động có cấu trúc chặt chẽ. Nhóm này bắt đầu hoạt động vào khoảng tháng 7 năm 2025, nhanh chóng khẳng định mình là một mối đe dọa nghiêm trọng. Chỉ riêng trong khoảng thời gian từ tháng 9 đến tháng 10 năm 2025, nhóm đã công bố 48 nạn nhân trên trang rò rỉ dữ liệu (dark web leak site) của họ.

Mô hình hoạt động của ransomware The Gentlemen

Ransomware The Gentlemen hoạt động theo mô hình Ransomware-as-a-Service (RaaS). Nền tảng này cho phép các chi nhánh triển khai các cuộc tấn công, trong khi các nhà điều hành cốt lõi duy trì quyền kiểm soát cơ sở hạ tầng và quy trình đàm phán.

The Gentlemen áp dụng chiến lược tống tiền kép (dual-extortion). Phương pháp này kết hợp mã hóa tệp tin với việc đánh cắp dữ liệu. Mục tiêu là không chỉ khóa quyền truy cập vào hệ thống của nạn nhân mà còn tạo áp lực bổ sung bằng cách đe dọa công khai thông tin đánh cắp trên các trang rò rỉ dữ liệu nếu yêu cầu tiền chuộc không được đáp ứng.

Trước khi ra mắt nền tảng RaaS của riêng mình, các nhà điều hành đã thử nghiệm với nhiều mô hình liên kết từ các nhóm ransomware nổi tiếng khác. Điều này đã giúp họ tinh chỉnh các phương pháp và phát triển một hoạt động tinh vi hơn.

Kỹ thuật tấn công và mục tiêu của mã độc The Gentlemen

Các nhà nghiên cứu bảo mật của Cybereason đã xác định rằng ransomware The Gentlemen nhắm mục tiêu vào các nền tảng Windows, Linux và ESXi với các công cụ mã hóa chuyên biệt.

Mã độc sử dụng các thuật toán mã hóa XChaCha20 và Curve25519 để bảo mật các tệp tin. Điều này làm cho việc khôi phục mà không có khóa giải mã trở nên cực kỳ khó khăn.

Các bản cập nhật gần đây đã giới thiệu chức năng tự khởi động lại và chạy khi khởi động hệ thống. Những cải tiến này giúp tăng cường khả năng duy trì sự hiện diện trên các hệ thống bị xâm nhập.

Cơ chế lây lan và thực thi

Ransomware The Gentlemen lây lan qua mạng bằng cách sử dụng các kỹ thuật Windows Management Instrumentation (WMI) và PowerShell remoting. Khi được thực thi, mã độc yêu cầu một đối số mật khẩu để bắt đầu quy trình mã hóa của nó.

Mã độc hỗ trợ nhiều chế độ hoạt động khác nhau. Bao gồm mã hóa cấp hệ thống dưới quyền SYSTEM và mã hóa chia sẻ mạng thông qua các ổ đĩa được ánh xạ (mapped drives) và đường dẫn UNC (Universal Naming Convention).

Biện pháp tránh phát hiện và chống điều tra pháp y

Để vô hiệu hóa Windows Defender, mã độc thực thi các lệnh PowerShell. Các lệnh này tắt tính năng bảo vệ thời gian thực và thêm các thư mục, quy trình vào danh sách loại trừ.

Ngoài ra, nó còn kích hoạt tính năng khám phá mạng (network discovery) và các quy tắc tường lửa (firewall rules). Điều này tạo điều kiện thuận lợi cho việc di chuyển ngang (lateral movement) dễ dàng hơn trong các mạng doanh nghiệp. Những hành động này làm tăng mối đe dọa mạng.

Ransomware nhắm mục tiêu vào các dịch vụ và quy trình quan trọng, bao gồm:

• Các công cụ cơ sở dữ liệu như MSSQL và MySQL.
• Các tiện ích sao lưu như Veeam.
• Các dịch vụ ảo hóa như VMware.

Để trốn tránh sự phát hiện và làm phức tạp các cuộc điều tra pháp y, mã độc xóa:

• Các nhật ký sự kiện của Windows (Windows event logs).
• Nhật ký kết nối RDP (RDP connection logs).
• Các tệp hỗ trợ Windows Defender.
• Dữ liệu Prefetch.

Cách tiếp cận chống điều tra pháp y này cản trở đáng kể nỗ lực ứng phó sự cố. Nó khiến việc tái tạo dòng thời gian trở nên khó khăn hơn cho các nhóm an ninh mạng đang điều tra cuộc tấn công của ransomware The Gentlemen. Tìm hiểu thêm chi tiết kỹ thuật về mã độc này tại blog của Cybereason.