An ninh mạng

Nhóm Ransomware ‘The Gentlemen’ sử dụng bộ công cụ GentleKiller để vô hiệu hóa 400 phần mềm bảo mật

Nhóm ransomware The Gentlemen đang tích cực sử dụng bộ khung GentleKiller để vô hiệu hóa các giải pháp EDR, nhắm vào hơn 400 tiến trình bảo mật thông qua kỹ thuật...

Nguyen Hung
20 Tháng 6, 2026 2 Min Read
2 0

Nhóm vận hành Ransomware-as-a-Service (RaaS) có tên The Gentlemen đang trở thành mối đe dọa đáng gờm khi liên tục phát triển và cung cấp cho các cộng tác viên bộ công cụ chuyên dụng để vô hiệu hóa hệ thống phòng thủ trước khi triển khai mã độc mã hóa. Trọng tâm của chiến dịch này là một framework có tên gọi GentleKiller.

Theo báo cáo từ các chuyên gia bảo mật tại ESET, nhóm này không chỉ tự phát triển công cụ mà còn tích hợp các mã độc bên thứ ba hoặc các công cụ bị rò rỉ như HexKiller, ThrottleBlood và HavocKiller. Điểm chung của các công cụ này là lớp ngụy trang tinh vi: chúng giả mạo thông tin phiên bản, chứng chỉ số và biểu tượng của các nhà cung cấp phần mềm bảo mật uy tín để vượt qua sự kiểm soát của EDR.

Một đặc điểm đáng chú ý là khả năng phản ứng cực nhanh của The Gentlemen đối với các kỹ thuật tấn công mới. Nhóm này thường xuyên khai thác các lỗ hổng thông qua kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) chỉ vài ngày sau khi các bằng chứng khái niệm (PoC) được công bố rộng rãi. GentleKiller hiện có 8 biến thể, mỗi biến thể nhắm vào các driver dễ bị tổn thương khác nhau để vô hiệu hóa hơn 400 tiến trình thuộc 48 chương trình bảo mật khác nhau.

Các driver bị nhóm này lạm dụng bao gồm những cái tên quen thuộc như Kaspersky (eb.sys), FACEIT Anti-Cheat (nseckrnl.sys), Valorant (GameDriverX64.sys) và nhiều driver khác. Việc lạm dụng các driver này cho phép kẻ tấn công thực thi mã độc ở cấp độ kernel, từ đó vô hiệu hóa các giải pháp bảo mật như CrowdStrike Falcon một cách hiệu quả.

Ngoài các công cụ EDR killer, ESET cũng phát hiện nhóm này sử dụng một mã độc đánh cắp thông tin (credential stealer) viết bằng ngôn ngữ Rust có tên là OxideHarvest. Công cụ này có khả năng thu thập dữ liệu từ hàng loạt trình duyệt web phổ biến như Google Chrome, Microsoft Edge, Firefox, Brave, Opera và nhiều trình duyệt khác.

Việc The Gentlemen tập trung hóa chức năng vô hiệu hóa EDR thành một bộ công cụ chuẩn hóa giúp giảm đáng kể rào cản kỹ thuật cho các cộng tác viên, khiến nhóm này trở thành một trong những tổ chức RaaS hoạt động tích cực nhất kể từ khi xuất hiện vào tháng 3 năm 2025. Các chuyên gia khuyến cáo các tổ chức cần chú trọng cập nhật các bản vá và theo dõi chặt chẽ các driver được tải vào hệ thống để phòng tránh các cuộc tấn công BYOVD tương tự.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept