An ninh mạng

The Gentlemen: Nhóm ransomware nguy hiểm với khả năng lây lan như sâu máy tính

Nhóm tội phạm mạng The Gentlemen đang nổi lên như một mối đe dọa đáng gờm với 478 nạn nhân, sử dụng AI để phát triển công cụ và khả năng tự lây lan như sâu máy tính trong mạng nội...

Nguyen Hung
12 Tháng 6, 2026 2 Min Read
4 0

Một báo cáo phân tích mới từ PRODAFT đã làm sáng tỏ hoạt động của The Gentlemen, một nhóm ransomware có động cơ tài chính mạnh mẽ. Tiền thân là một nhóm liên kết (affiliate) từng hợp tác với các tổ chức RaaS lớn như LockBit, Qilin và Medusa, nhóm này đã tách ra hoạt động độc lập từ tháng 7/2025.

Table Of Content

Chân dung kẻ đứng sau

Nhóm được dẫn dắt bởi đối tượng có biệt danh LARVA-368, được xác định là Alexander Andreevich Yapaev, một cá nhân 36 tuổi đến từ Izhevsk, Nga. Theo các chuyên gia, LARVA-368 tận dụng tối đa trí tuệ nhân tạo (AI) để phát triển mã độc, duy trì hạ tầng và hỗ trợ các quy trình hậu khai thác (post-exploitation).

Phương thức tấn công tinh vi

The Gentlemen không chỉ là một ransomware thông thường mà còn sở hữu khả năng tự lây lan như sâu máy tính (worm) khi được kích hoạt tham số --spread. Các đặc điểm kỹ thuật đáng chú ý bao gồm:

  • Truy cập ban đầu: Tập trung vào các thiết bị biên như VPN, firewall (đặc biệt là Cisco và Fortinet) thông qua các lỗ hổng zero-day hoặc thông tin đăng nhập bị đánh cắp.
  • Kỹ thuật né tránh: Sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) để vô hiệu hóa các giải pháp EDR và phần mềm bảo mật.
  • Công cụ đa dạng: Sử dụng hàng loạt công cụ như NetExec, RelayKing và Velociraptor để thực hiện leo thang đặc quyền, di chuyển ngang (lateral movement) và chiếm quyền điều khiển Active Directory.
  • Khả năng thích ứng: Nhóm duy trì chu kỳ phát triển phần mềm rất nhanh, sẵn sàng tung ra bản vá hoặc cập nhật ngay trong ngày nếu bị các nhà nghiên cứu bảo mật tìm ra cách giải mã.

Mô hình hoạt động chuyên nghiệp

The Gentlemen vận hành như một doanh nghiệp tội phạm thực thụ với sự phân chia vai trò rõ ràng. Nhóm áp dụng mô hình chia sẻ lợi nhuận hấp dẫn (90% cho affiliate, 10% cho quản trị viên) và yêu cầu khắt khe đối với các đối tác mới (phải cung cấp ít nhất 1GB dữ liệu bị đánh cắp để xác thực). Mã độc của nhóm hỗ trợ đa nền tảng bao gồm Windows, Linux, ESXi và cả các hệ thống cũ như Windows XP.

Dữ liệu từ các cuộc tấn công cho thấy nhóm này tập trung vào các tổ chức sử dụng hạ tầng VMware. Thời gian lưu trú trung bình trong hệ thống nạn nhân kéo dài từ 2 đến 6 tuần trước khi tiến hành mã hóa dữ liệu. Với việc liên tục cập nhật các kỹ thuật khai thác lỗ hổng mới (như các CVE liên quan đến VMware Aria Operations), The Gentlemen hiện là một trong những mối đe dọa an ninh mạng cần được các doanh nghiệp đặc biệt cảnh giác.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept