Nhóm ransomware The Gentlemen đã nổi lên như một tác nhân đe dọa tinh vi, thể hiện khả năng cao cấp thông qua việc xâm nhập có hệ thống các môi trường doanh nghiệp tại 17 quốc gia. Chiến dịch của chúng kết hợp lạm dụng driver hợp pháp, thao túng Group Policy và các tiện ích chống AV tùy chỉnh để vượt qua các biện pháp bảo vệ điểm cuối của doanh nghiệp. Nhóm nhắm mục tiêu vào các ngành sản xuất, xây dựng, y tế và bảo hiểm.

Tổng Quan về Nhóm Ransomware The Gentlemen

Vào tháng 8 năm 2025, các nhà nghiên cứu an ninh mạng đã xác định một chiến dịch mã độc ransomware mới được điều phối bởi The Gentlemen. Đây là một nhóm đe dọa mới nổi và chưa được ghi nhận trước đây, nhưng nhanh chóng khẳng định vị thế trong bối cảnh mối đe dọa. Chi tiết về phân tích này có thể được tìm thấy tại Trend Micro Research.

Chiến dịch của nhóm đã phơi bày những chiến thuật cực kỳ tinh vi. Chúng thể hiện khả năng xâm nhập có hệ thống các môi trường doanh nghiệp. Đồng thời, nhóm còn điều chỉnh công cụ của mình ngay trong quá trình chiến dịch, từ các tiện ích chống AV chung đến các biến thể cụ thể, có mục tiêu cao.

The Gentlemen thể hiện sự phát triển trong các hoạt động ransomware. Kẻ tấn công thực hiện trinh sát rộng rãi, dẫn đến việc tạo ra các phương pháp bỏ qua được tùy chỉnh cho các biện pháp phòng thủ cụ thể mà chúng gặp phải. Cách tiếp cận này đánh dấu một sự thay đổi đáng kể từ các cuộc tấn công cơ hội sang phân tích có hệ thống tài liệu phần mềm bảo mật, kết hợp với việc lạm dụng các công cụ hợp pháp và các driver dễ bị tổn thương để triển khai các kỹ thuật né tránh dành riêng cho từng môi trường.

Chi tiết Chuỗi Tấn công và Kỹ thuật của Ransomware The Gentlemen

Chuỗi tấn công của nhóm đe dọa này đã tiết lộ nhiều khả năng đáng lo ngại. Nhóm đã khai thác các driver hợp pháp để né tránh phòng thủ, lạm dụng Group Policy Objects (GPO) để tạo điều kiện xâm nhập toàn bộ miền, và triển khai các công cụ độc hại tùy chỉnh. Những công cụ này được thiết kế đặc biệt để vô hiệu hóa các giải pháp bảo mật hiện có trong các môi trường mục tiêu.

Phương pháp Né tránh Ban đầu

Chiến lược né tránh phòng thủ ban đầu của nhóm tập trung vào việc triển khai các kỹ thuật tinh vi. Chúng liên quan đến việc sử dụng các driver hợp lệ, có chữ ký để thực hiện thao tác cấp kernel. Điều này giúp chúng kết thúc hiệu quả các tiến trình phần mềm bảo mật mà thông thường sẽ được bảo vệ khỏi việc bị chấm dứt.

Thích nghi và Trinh sát Mở rộng

Sau khi nhận ra những hạn chế của cách tiếp cận ban đầu, các tác nhân đe dọa đã thay đổi chiến thuật. Chúng bắt đầu tiến hành trinh sát chi tiết các cơ chế bảo vệ điểm cuối đang hoạt động. Điều này cho phép chúng xác định các biện pháp kiểm soát bảo mật cụ thể và điều chỉnh phương pháp của mình cho phù hợp.

Trong giai đoạn khám phá, tác nhân đe dọa đã kiểm tra cấu trúc Active Directory. Chúng tập trung vào các quản trị viên miền, quản trị viên doanh nghiệp và các nhóm đặc quyền tùy chỉnh. Nhóm thể hiện nhận thức môi trường sâu rộng bằng cách truy vấn các nhóm cục bộ, bao gồm các nhóm quản trị tiêu chuẩn và các nhóm dành riêng cho ảo hóa như VMware. Điều này cho thấy sự chuẩn bị cho việc di chuyển ngang qua cả các thành phần cơ sở hạ tầng vật lý và ảo hóa.

Phát hiện và Di chuyển Ngang

Kẻ tấn công đã tận dụng các công cụ hợp pháp như PsExec để di chuyển ngang. Đồng thời, chúng làm suy yếu có hệ thống các biện pháp kiểm soát bảo mật bằng cách sửa đổi các cài đặt registry quan trọng. Các cài đặt này chi phối giao thức xác thực và truy cập từ xa.

Để duy trì quyền truy cập lệnh và kiểm soát liên tục, chúng đã dựa vào AnyDesk, tạo một kênh truy cập từ xa kiên cường trước các hành động ứng phó sự cố truyền thống. Thông tin về lỗ hổng AnyDesk đã từng được ghi nhận tại Gbhackers.

Nhóm tiếp tục mở rộng nhận thức tình huống bằng cách tải xuống, cài đặt và thực thi các công cụ lập bản đồ mạng. Điều này phục vụ cho việc quét mạng nội bộ một cách toàn diện. Bằng chứng cho thấy khả năng tài khoản quản trị FortiGate đã bị xâm phạm, với các bản quét mạng có nguồn gốc từ các ngữ cảnh đặc quyền.

Điều này cho thấy các tác nhân đe dọa đã xâm phạm cơ sở hạ tầng bảo mật mạng quan trọng, có khả năng cấp cho chúng khả năng hiển thị và kiểm soát rộng rãi lưu lượng mạng. Điều tra đã xác nhận rằng máy chủ FortiGate có thể truy cập trực tiếp từ internet, có khả năng đóng vai trò là điểm vào mạng của kẻ tấn công.

Triển khai Ransomware

Cuối cùng, ransomware The Gentlemen được triển khai trên toàn bộ chia sẻ NETLOGON của miền, đảm bảo phân phối rộng rãi trên tất cả các hệ thống tham gia miền. Payload được bảo vệ bằng mật khẩu, có khả năng để né tránh phân tích sandbox tự động.

Trước khi mã hóa, Windows Defender tích hợp sẵn đã bị vô hiệu hóa thông qua các lệnh PowerShell. Các quy tắc tường lửa cũng được sửa đổi để đảm bảo quyền truy cập liên tục cho việc đàm phán và các hoạt động tống tiền bổ sung.

Tác động và Khuyến nghị Bảo mật

Chiến dịch của nhóm ransomware The Gentlemen cho thấy sự hiểu biết của các tác nhân đe dọa về kiến trúc bảo mật doanh nghiệp. Điều này được thể hiện qua các biện pháp đối phó thích ứng được tùy chỉnh cụ thể để vượt qua các giải pháp bảo mật đã triển khai. Các hoạt động còn bao gồm đánh cắp dữ liệu có hệ thống để tống tiền kép và triển khai thành công ransomware bằng đặc quyền quản trị viên miền để đạt tác động tối đa.

Các ngành nghề bị ảnh hưởng và Mối Đe Dọa Mạng

Nhóm ransomware này đã nhắm mục tiêu vào các tổ chức trên nhiều lĩnh vực. Ngành sản xuất chịu tác động nặng nề nhất, tiếp theo là ngành xây dựng, y tế và bảo hiểm. Các cuộc tấn công của nhóm vào các dịch vụ thiết yếu như y tế nhấn mạnh sự coi thường của chúng đối với cơ sở hạ tầng quan trọng và những tác động tiềm ẩn đến an toàn công cộng. Các quốc gia mục tiêu chính bao gồm Thái Lan và Hoa Kỳ, với các cuộc tấn công trải rộng ít nhất 17 quốc gia tổng cộng.

Số lượng nạn nhân đáng kể, cùng với việc thiếu thông tin tình báo về mối đe dọa trước đó, cho thấy đây có thể là một nỗ lực đổi tên thương hiệu của các nhà khai thác có kinh nghiệm hoặc sự xuất hiện của một thành viên mới được tài trợ tốt trong hệ sinh thái ransomware.

Khuyến nghị Bảo mật để Ứng phó với Ransomware The Gentlemen

Các tổ chức được khuyến nghị mạnh mẽ xem xét tình hình bảo mật của mình. Hãy tập trung vào việc chủ động săn lùng mối đe dọa đối với các công cụ, chiến thuật và thủ tục (TTPs) cụ thể của nhóm. Cần tăng cường bảo vệ điểm cuối và mạng, đồng thời liên tục tinh chỉnh các chiến lược ứng phó sự cố phù hợp với các hành vi được quan sát này.

Cần đặc biệt chú ý đến việc giám sát các hoạt động quản trị bất thường, lạm dụng các công cụ hợp pháp để di chuyển ngang và leo thang đặc quyền, cùng với các dấu hiệu sớm của những nỗ lực né tránh phòng thủ nhắm mục tiêu vào các giải pháp bảo mật. Tác động của chiến dịch đối với cơ sở hạ tầng quan trọng và việc sử dụng các kỹ thuật tống tiền kép nhấn mạnh rủi ro đáng kể mà nhóm ransomware The Gentlemen này gây ra cho các tổ chức trên toàn cầu.