-
09/04/2020
-
141
-
1.993 bài viết
Công cụ mới của Gentlemen nhắm tới 48 sản phẩm bảo mật lớn
Trong phần lớn các cuộc tấn công ransomware, phần mềm bảo mật là chướng ngại mà tin tặc phải tìm cách vượt qua. Với Gentlemen, mọi thứ diễn ra theo cách khác. Thay vì lẩn tránh các công cụ bảo vệ, nhóm này chủ động loại bỏ chúng trước khi triển khai các bước tấn công tiếp theo.
Theo báo cáo mới được ESET công bố ngày 17/6/2026, nhóm Gentlemen đang sử dụng một framework chuyên dụng mang tên GentleKiller để tắt hàng loạt công cụ phát hiện và phản ứng điểm cuối (EDR), tạo điều kiện thuận lợi cho các giai đoạn tiếp theo của cuộc tấn công. Đây cũng là một trong những yếu tố giúp Gentlemen nhanh chóng trở thành một trong những băng nhóm ransomware hoạt động mạnh nhất trong quý I/2026.
Điều khiến ESET đặc biệt chú ý không chỉ là khả năng vô hiệu hóa EDR của GentleKiller, mà còn là cách công cụ này được phát triển và vận hành. Thay vì sử dụng các công cụ sẵn có trên thị trường ngầm, Gentlemen tự xây dựng, duy trì và phân phối GentleKiller cho các affiliate trong hệ sinh thái RaaS của mình. Theo ESET, việc một nhóm ransomware trực tiếp phát triển và vận hành tập trung bộ công cụ diệt EDR như vậy vẫn là điều tương đối hiếm gặp.
Framework diệt EDR được phát triển riêng
Theo ESET, GentleKiller là một framework chuyên dụng để vô hiệu hóa các giải pháp bảo mật bằng cách khai thác quyền truy cập ở tầng kernel. Công cụ này hiện có ít nhất tám biến thể khác nhau, mỗi biến thể giả mạo một sản phẩm hợp pháp và khai thác một driver riêng biệt.
Đứng sau GentleKiller là kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), một phương thức ngày càng được các nhóm ransomware ưa chuộng trong thời gian gần đây. Thay vì khai thác trực tiếp phần mềm bảo mật, kẻ tấn công sử dụng các driver hợp pháp đã được ký số nhưng tồn tại lỗ hổng để giành quyền thực thi ở tầng kernel của hệ điều hành. Với mức đặc quyền này, chúng có thể can thiệp trực tiếp vào các tiến trình bảo mật, vô hiệu hóa hoặc chấm dứt hoạt động của chúng trước khi các cơ chế phòng vệ kịp phát hiện và phản ứng.
Sau khi được triển khai trên hệ thống nạn nhân, GentleKiller không chỉ thực hiện một lần rồi dừng lại. Framework này liên tục rà quét các tiến trình bảo mật đang hoạt động theo chu kỳ khoảng hai giây một lần. Bất kỳ tiến trình nào xuất hiện trong danh sách mục tiêu đều có thể bị vô hiệu hóa hoặc chấm dứt ngay lập tức, giúp ransomware duy trì môi trường hoạt động thuận lợi trước khi triển khai các giai đoạn tấn công tiếp theo.
Đứng sau GentleKiller là kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), một phương thức ngày càng được các nhóm ransomware ưa chuộng trong thời gian gần đây. Thay vì khai thác trực tiếp phần mềm bảo mật, kẻ tấn công sử dụng các driver hợp pháp đã được ký số nhưng tồn tại lỗ hổng để giành quyền thực thi ở tầng kernel của hệ điều hành. Với mức đặc quyền này, chúng có thể can thiệp trực tiếp vào các tiến trình bảo mật, vô hiệu hóa hoặc chấm dứt hoạt động của chúng trước khi các cơ chế phòng vệ kịp phát hiện và phản ứng.
Sau khi được triển khai trên hệ thống nạn nhân, GentleKiller không chỉ thực hiện một lần rồi dừng lại. Framework này liên tục rà quét các tiến trình bảo mật đang hoạt động theo chu kỳ khoảng hai giây một lần. Bất kỳ tiến trình nào xuất hiện trong danh sách mục tiêu đều có thể bị vô hiệu hóa hoặc chấm dứt ngay lập tức, giúp ransomware duy trì môi trường hoạt động thuận lợi trước khi triển khai các giai đoạn tấn công tiếp theo.
Cửa sổ điều khiển của GentleKiller trong quá trình rà quét và vô hiệu hóa các tiến trình bảo mật. (Nguồn: ESET)
Theo ESET, GentleKiller có khả năng nhắm tới hơn 400 tiến trình thuộc 48 sản phẩm bảo mật khác nhau. Danh sách mục tiêu trải rộng từ các giải pháp phổ biến như Microsoft Defender, CrowdStrike, SentinelOne và Sophos cho tới Palo Alto Networks, ESET, Bitdefender, Kaspersky hay McAfee/Trellix. Quy mô này cho thấy framework được xây dựng để đối phó với hầu hết các nền tảng bảo mật doanh nghiệp phổ biến hiện nay.
Tám biến thể của GentleKiller lần lượt khai thác các driver từ nhiều phần mềm quen thuộc như Kaspersky (eb.sys), FACEIT Anti-Cheat (nseckrnl.sys), Valorant (GameDriverX64.sys), Safetica (stpm_old.sys và stpm_new.sys), Zemana WatchDog (dmx.sys), Qihoo 360 (360netmon_wfp.sys), IObit (IMFForceDelete) cùng rootkit PoisonX.
Tám biến thể của GentleKiller lần lượt khai thác các driver từ nhiều phần mềm quen thuộc như Kaspersky (eb.sys), FACEIT Anti-Cheat (nseckrnl.sys), Valorant (GameDriverX64.sys), Safetica (stpm_old.sys và stpm_new.sys), Zemana WatchDog (dmx.sys), Qihoo 360 (360netmon_wfp.sys), IObit (IMFForceDelete) cùng rootkit PoisonX.
Tốc độ "vũ khí hóa" PoC đáng báo động
Một trong những điểm khiến ESET đặc biệt chú ý là tốc độ phát triển công cụ của Gentlemen. Trong khi nhiều nhóm ransomware thường mất nhiều tuần, thậm chí nhiều tháng để chuyển đổi một PoC công khai thành công cụ có thể sử dụng trong thực tế, Gentlemen dường như chỉ cần vài ngày.
Theo ESET, các công cụ như UnknownKiller và PoisonKiller đã nhanh chóng xuất hiện trong hệ sinh thái GentleKiller không lâu sau khi được công bố trên GitHub. Điều này cho thấy nhóm liên tục theo dõi các nghiên cứu và công cụ mới được công khai, sau đó nhanh chóng đánh giá, điều chỉnh và đưa chúng vào các chiến dịch tấn công thực tế.
Khả năng "vũ khí hóa" các PoC BYOVD với tốc độ cao đang trở thành một trong những lợi thế đáng chú ý nhất của Gentlemen. Đây cũng là yếu tố giúp nhóm liên tục bổ sung kỹ thuật mới vào kho công cụ của mình nhanh hơn đáng kể so với nhiều băng nhóm ransomware khác.
Theo ESET, các công cụ như UnknownKiller và PoisonKiller đã nhanh chóng xuất hiện trong hệ sinh thái GentleKiller không lâu sau khi được công bố trên GitHub. Điều này cho thấy nhóm liên tục theo dõi các nghiên cứu và công cụ mới được công khai, sau đó nhanh chóng đánh giá, điều chỉnh và đưa chúng vào các chiến dịch tấn công thực tế.
Khả năng "vũ khí hóa" các PoC BYOVD với tốc độ cao đang trở thành một trong những lợi thế đáng chú ý nhất của Gentlemen. Đây cũng là yếu tố giúp nhóm liên tục bổ sung kỹ thuật mới vào kho công cụ của mình nhanh hơn đáng kể so với nhiều băng nhóm ransomware khác.
Không chỉ dùng công cụ của mình
Tuy nhiên, GentleKiller chỉ là một phần trong kho vũ khí mà Gentlemen cung cấp cho các affiliate. Thay vì chỉ dựa vào các công cụ do mình phát triển, nhóm này còn tích hợp thêm nhiều EDR killer từng xuất hiện trong các chiến dịch ransomware khác.
Trong số đó có HexKiller, công cụ từng được ghi nhận trong hoạt động của nhóm Warlock; ThrottleBlood, từng xuất hiện trong các cuộc tấn công liên quan đến MedusaLocker và DragonForce; cùng HavocKiller, một công cụ được công bố bởi Huntress vào tháng 3/2026 nhưng đã được sử dụng trong thực tế từ trước đó nhiều tuần.
Điều đáng chú ý là sau khi được đưa vào hệ sinh thái của Gentlemen, các công cụ này đều trải qua một quy trình "chuẩn hóa" chung. Nhóm sử dụng các bộ bảo vệ mã nhị phân như Enigma hoặc Themida để che giấu mã nguồn, đồng thời giả mạo thông tin phiên bản, biểu tượng ứng dụng và thậm chí cả chữ ký số của các nhà cung cấp phần mềm bảo mật nhằm tăng khả năng qua mặt các giải pháp phòng thủ.
Cách làm này giúp Gentlemen có thể đóng gói nhiều công cụ có nguồn gốc khác nhau dưới cùng một lớp ngụy trang. Đối với các nhà nghiên cứu, điều đó đồng nghĩa việc phân tích và truy vết nguồn gốc trở nên khó khăn hơn đáng kể, bởi những công cụ vốn thuộc về các nhóm ransomware khác nhau có thể mang diện mạo gần như giống hệt nhau sau khi được xử lý.
Không chỉ tập trung vào việc vô hiệu hóa EDR, Gentlemen còn trang bị cho các chiến dịch của mình công cụ đánh cắp thông tin OxideHarvest được viết bằng Rust. Phần mềm này chuyên thu thập dữ liệu đăng nhập từ các trình duyệt dựa trên Chromium và Gecko trên những hệ thống đã bị xâm nhập, giúp mở rộng khả năng kiểm soát và tạo thêm cơ hội cho các hoạt động tấn công tiếp theo.
Trong số đó có HexKiller, công cụ từng được ghi nhận trong hoạt động của nhóm Warlock; ThrottleBlood, từng xuất hiện trong các cuộc tấn công liên quan đến MedusaLocker và DragonForce; cùng HavocKiller, một công cụ được công bố bởi Huntress vào tháng 3/2026 nhưng đã được sử dụng trong thực tế từ trước đó nhiều tuần.
Điều đáng chú ý là sau khi được đưa vào hệ sinh thái của Gentlemen, các công cụ này đều trải qua một quy trình "chuẩn hóa" chung. Nhóm sử dụng các bộ bảo vệ mã nhị phân như Enigma hoặc Themida để che giấu mã nguồn, đồng thời giả mạo thông tin phiên bản, biểu tượng ứng dụng và thậm chí cả chữ ký số của các nhà cung cấp phần mềm bảo mật nhằm tăng khả năng qua mặt các giải pháp phòng thủ.
Cách làm này giúp Gentlemen có thể đóng gói nhiều công cụ có nguồn gốc khác nhau dưới cùng một lớp ngụy trang. Đối với các nhà nghiên cứu, điều đó đồng nghĩa việc phân tích và truy vết nguồn gốc trở nên khó khăn hơn đáng kể, bởi những công cụ vốn thuộc về các nhóm ransomware khác nhau có thể mang diện mạo gần như giống hệt nhau sau khi được xử lý.
Không chỉ tập trung vào việc vô hiệu hóa EDR, Gentlemen còn trang bị cho các chiến dịch của mình công cụ đánh cắp thông tin OxideHarvest được viết bằng Rust. Phần mềm này chuyên thu thập dữ liệu đăng nhập từ các trình duyệt dựa trên Chromium và Gecko trên những hệ thống đã bị xâm nhập, giúp mở rộng khả năng kiểm soát và tạo thêm cơ hội cho các hoạt động tấn công tiếp theo.
Băng nhóm đứng sau GentleKiller là ai?
Đứng sau GentleKiller là Gentlemen, một nhóm ransomware-as-a-service (RaaS) mới nổi nhưng đang nhanh chóng thu hút sự chú ý của giới nghiên cứu an ninh mạng. Theo ESET, nhóm xuất hiện vào cuối năm 2025 và được cho là do một đối tượng có biệt danh "hastalamuerte" thành lập, sau khi rời khỏi vai trò affiliate của ransomware Qilin. Chỉ trong vài tháng, Gentlemen đã vươn lên trở thành một trong những băng nhóm ransomware hoạt động mạnh nhất trong quý I/2026, đồng thời xây dựng được hệ sinh thái công cụ riêng bao gồm các EDR killer, phần mềm đánh cắp thông tin và nhiều thành phần hỗ trợ tấn công khác.
Khác với nhiều băng nhóm ransomware lớn thường tập trung vào thị trường Mỹ, Gentlemen chủ yếu nhắm đến các tổ chức tại Đông Nam Á, Nam Mỹ và Tây Âu. Tuy nhiên, tiêu chí lựa chọn nạn nhân của nhóm không phụ thuộc quá nhiều vào vị trí địa lý mà tập trung vào các hệ thống FortiGate bị cấu hình sai hoặc phơi lộ trên Internet. Vụ rò rỉ dữ liệu nội bộ hồi tháng 5/2026 cũng cho thấy các quản trị viên của Gentlemen trực tiếp phát triển, bảo trì và phân phối GentleKiller cho các affiliate đã được phê duyệt. Để mở rộng mạng lưới cộng tác viên, nhóm đưa ra mức chia sẻ lợi nhuận lên tới 90%, một tỷ lệ đặc biệt hấp dẫn trong thế giới RaaS và được cho là yếu tố góp phần thúc đẩy sự phát triển nhanh chóng của tổ chức này.
Khuyến nghị
Trước mối đe dọa từ các cuộc tấn công sử dụng kỹ thuật BYOVD, ESET khuyến nghị các tổ chức tăng cường kiểm soát việc tải và sử dụng driver trên hệ thống, đồng thời kích hoạt danh sách chặn các driver có lỗ hổng của Microsoft. Bên cạnh đó, những dấu hiệu như xuất hiện driver kernel bất thường hoặc hàng loạt tiến trình bảo mật bị chấm dứt đột ngột cũng cần được đưa vào danh sách giám sát ưu tiên.
Sự xuất hiện của GentleKiller cho thấy các nhóm ransomware đang đầu tư ngày càng nhiều nguồn lực vào việc vô hiệu hóa công cụ bảo mật trước khi triển khai mã độc. Thay vì chỉ tìm cách lẩn tránh sự phát hiện, chúng chủ động loại bỏ các lớp phòng vệ ngay từ giai đoạn đầu của cuộc tấn công. Với khả năng nhắm tới hơn 400 tiến trình bảo mật và tốc độ tích hợp các kỹ thuật mới chỉ trong vài ngày, Gentlemen đang nổi lên như một trong những nhóm ransomware đáng chú ý nhất hiện nay, đồng thời phản ánh xu hướng ngày càng chuyên nghiệp hóa của hệ sinh thái tội phạm mạng.
Sự xuất hiện của GentleKiller cho thấy các nhóm ransomware đang đầu tư ngày càng nhiều nguồn lực vào việc vô hiệu hóa công cụ bảo mật trước khi triển khai mã độc. Thay vì chỉ tìm cách lẩn tránh sự phát hiện, chúng chủ động loại bỏ các lớp phòng vệ ngay từ giai đoạn đầu của cuộc tấn công. Với khả năng nhắm tới hơn 400 tiến trình bảo mật và tốc độ tích hợp các kỹ thuật mới chỉ trong vài ngày, Gentlemen đang nổi lên như một trong những nhóm ransomware đáng chú ý nhất hiện nay, đồng thời phản ánh xu hướng ngày càng chuyên nghiệp hóa của hệ sinh thái tội phạm mạng.