Duy Linh
Writer
Một biến thể ransomware có tên The Gentlemen đang thu hút sự quan tâm của giới nghiên cứu an ninh mạng bởi khả năng kết hợp giữa cơ chế mã hóa dữ liệu hiệu quả và năng lực lây lan trong hệ thống mạng ở mức cao.
Điểm khiến mối đe dọa này trở nên đặc biệt nguy hiểm nằm ở việc nó tận dụng các tác vụ được lên lịch chạy dưới quyền SYSTEM để thực hiện quá trình mã hóa trên các ổ đĩa cục bộ. Nhờ hoạt động với mức đặc quyền cao nhất của Windows, mã độc có thể tiếp cận sâu hơn vào hệ thống, tăng độ ổn định khi thực thi và vượt qua nhiều giới hạn vốn tồn tại ở cấp tài khoản người dùng.
The Gentlemen vận hành thông qua nhiều tham số dòng lệnh khác nhau. Trong đó, chế độ "--full" sẽ kích hoạt đồng thời hai tiến trình: một tiến trình xử lý các ổ đĩa cục bộ thông qua tham số "--system", trong khi tiến trình còn lại nhắm tới các thư mục chia sẻ trên mạng bằng tham số "--shares".
Khi tùy chọn hệ thống được sử dụng, mã độc sẽ tự tạo một tác vụ theo lịch trình để chạy lại dưới tài khoản SYSTEM. Trước khi bắt đầu mã hóa dữ liệu, nó tiến hành vô hiệu hóa Microsoft Defender, xóa các bản sao lưu, loại bỏ nhật ký sự kiện và dọn sạch nhiều dấu vết phục vụ điều tra pháp y, bao gồm lịch sử PowerShell. Những hành động này khiến việc phát hiện cũng như khôi phục hệ thống sau tấn công trở nên khó khăn hơn đáng kể.
Các tham số dòng lệnh của chế độ mã hóa (Nguồn: Microsoft).
Để bảo đảm quá trình hoạt động không gặp trở ngại, ransomware trước tiên kiểm tra và xóa tác vụ có tên "gentlemen_system" nếu đã tồn tại. Sau đó, nó tạo một tác vụ mới với mức đặc quyền cao hơn và thực thi ngay lập tức. Chuỗi hành động này giúp tránh xung đột và duy trì quá trình mã hóa một cách liên tục.
Microsoft hiện theo dõi chiến dịch ransomware-as-a-service (RaaS) này dưới định danh Storm-2697. Kể từ giữa năm 2025, hoạt động của nhóm đã mở rộng nhanh chóng và xuất hiện trong nhiều cuộc tấn công nhằm vào các tổ chức thuộc nhiều lĩnh vực khác nhau trên phạm vi toàn cầu.
Về cơ chế mã hóa, The Gentlemen sử dụng mô hình lai kết hợp thuật toán đường cong elliptic Curve25519 với thuật toán mã hóa dòng XChaCha20. Mỗi tệp tin được bảo vệ bằng một khóa tạm thời riêng biệt, giúp tăng khả năng cô lập giữa các tệp dữ liệu.
Các tệp có dung lượng nhỏ bị mã hóa hoàn toàn, trong khi các tệp lớn được xử lý theo từng phần nhằm rút ngắn thời gian thực hiện nhưng vẫn khiến dữ liệu không thể sử dụng được.
Ngoài ra, các tùy chọn "--fast", "--superfast" và "--ultrafast" cho phép điều chỉnh mức độ mã hóa đối với các tệp dung lượng lớn. Các chế độ này không thể được sử dụng đồng thời.
Hướng dẫn sử dụng phần mềm tống tiền Gentlemen (Nguồn: Microsoft).
Sau khi xâm nhập thành công một thiết bị, phần mềm độc hại sẽ biến hệ thống đó thành một điểm phát tán mới bằng cách tạo các thư mục chia sẻ SMB ẩn và cho phép truy cập ẩn danh. Tiếp đó, nó quét các thiết bị khác trong mạng và thử tới 21 phương pháp thực thi khác nhau đối với từng mục tiêu.
Việc triển khai nhiều cơ chế lây lan song song giúp tăng đáng kể tỷ lệ thành công. Nếu một số kỹ thuật bị ngăn chặn, các phương pháp còn lại vẫn có thể hoạt động, từ đó làm tăng nguy cơ lây nhiễm trên diện rộng.
Trong quá trình mã hóa, ransomware tạo một cặp khóa Curve25519 tạm thời gồm khóa riêng được sinh ngẫu nhiên cùng khóa công khai tương ứng để phục vụ việc mã hóa dữ liệu.
Cơ chế mã hóa tập tin của phần mềm tống tiền Gentlemen (Nguồn: Microsoft).
Phương thức này tạo áp lực rất lớn đối với các tổ chức hoạt động trong các lĩnh vực như y tế, tài chính và giáo dục, nơi lưu trữ lượng lớn dữ liệu quan trọng và có tính bảo mật cao.
Để duy trì sự hiện diện trên hệ thống, mã độc sử dụng cả các tác vụ theo lịch trình và các khóa tự khởi động trong Registry. Nhờ đó, nó có thể tiếp tục hoạt động ngay cả sau khi máy tính được khởi động lại.
Một số trường hợp còn ghi nhận The Gentlemen thực hiện ghi đè lên vùng dung lượng trống của ổ đĩa nhằm ngăn cản việc khôi phục các dữ liệu đã bị xóa trước đó, khiến quá trình ứng phó sự cố và điều tra trở nên phức tạp hơn.
Sự kết hợp giữa đặc quyền SYSTEM, cơ chế mã hóa mạnh, khả năng phát tán đa dạng và chiến thuật tống tiền kép đã biến The Gentlemen thành một mối đe dọa ransomware có mức độ nguy hiểm cao.
Việc loại ransomware này ngày càng được quảng bá rộng rãi trên các diễn đàn ngầm cho thấy các tổ chức cần chuẩn bị cho khả năng gia tăng các cuộc tấn công trong thời gian tới. Các chuyên gia khuyến nghị ưu tiên theo dõi những dấu hiệu như lạm dụng tác vụ theo lịch trình, hành vi leo thang đặc quyền và các hoạt động di chuyển ngang bất thường trong hệ thống mạng.
Mô tả: Mẫu ransomware The Gentlemen
SHA-256: 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b
Mô tả: Tệp nhị phân PsExec
SHA-256: fe1033335a045c696c900d435119d210361966e2fb5cd1ba3382608cfa2c8e68
Mô tả: Tệp hình nền của The Gentlemen
Lưu ý: Các địa chỉ IP và tên miền đã được vô hiệu hóa một phần bằng ký hiệu "[.]" nhằm tránh việc tự động phân giải hoặc tạo liên kết ngoài ý muốn. Chỉ nên khôi phục các giá trị này trong những nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc hệ thống SIEM.
Điểm khiến mối đe dọa này trở nên đặc biệt nguy hiểm nằm ở việc nó tận dụng các tác vụ được lên lịch chạy dưới quyền SYSTEM để thực hiện quá trình mã hóa trên các ổ đĩa cục bộ. Nhờ hoạt động với mức đặc quyền cao nhất của Windows, mã độc có thể tiếp cận sâu hơn vào hệ thống, tăng độ ổn định khi thực thi và vượt qua nhiều giới hạn vốn tồn tại ở cấp tài khoản người dùng.
The Gentlemen vận hành thông qua nhiều tham số dòng lệnh khác nhau. Trong đó, chế độ "--full" sẽ kích hoạt đồng thời hai tiến trình: một tiến trình xử lý các ổ đĩa cục bộ thông qua tham số "--system", trong khi tiến trình còn lại nhắm tới các thư mục chia sẻ trên mạng bằng tham số "--shares".
Khi tùy chọn hệ thống được sử dụng, mã độc sẽ tự tạo một tác vụ theo lịch trình để chạy lại dưới tài khoản SYSTEM. Trước khi bắt đầu mã hóa dữ liệu, nó tiến hành vô hiệu hóa Microsoft Defender, xóa các bản sao lưu, loại bỏ nhật ký sự kiện và dọn sạch nhiều dấu vết phục vụ điều tra pháp y, bao gồm lịch sử PowerShell. Những hành động này khiến việc phát hiện cũng như khôi phục hệ thống sau tấn công trở nên khó khăn hơn đáng kể.
Các tham số dòng lệnh của chế độ mã hóa (Nguồn: Microsoft).
Để bảo đảm quá trình hoạt động không gặp trở ngại, ransomware trước tiên kiểm tra và xóa tác vụ có tên "gentlemen_system" nếu đã tồn tại. Sau đó, nó tạo một tác vụ mới với mức đặc quyền cao hơn và thực thi ngay lập tức. Chuỗi hành động này giúp tránh xung đột và duy trì quá trình mã hóa một cách liên tục.
Microsoft hiện theo dõi chiến dịch ransomware-as-a-service (RaaS) này dưới định danh Storm-2697. Kể từ giữa năm 2025, hoạt động của nhóm đã mở rộng nhanh chóng và xuất hiện trong nhiều cuộc tấn công nhằm vào các tổ chức thuộc nhiều lĩnh vực khác nhau trên phạm vi toàn cầu.
Về cơ chế mã hóa, The Gentlemen sử dụng mô hình lai kết hợp thuật toán đường cong elliptic Curve25519 với thuật toán mã hóa dòng XChaCha20. Mỗi tệp tin được bảo vệ bằng một khóa tạm thời riêng biệt, giúp tăng khả năng cô lập giữa các tệp dữ liệu.
Các tệp có dung lượng nhỏ bị mã hóa hoàn toàn, trong khi các tệp lớn được xử lý theo từng phần nhằm rút ngắn thời gian thực hiện nhưng vẫn khiến dữ liệu không thể sử dụng được.
Khả năng lây lan trong mạng nội bộ
Không chỉ tập trung vào mã hóa dữ liệu, The Gentlemen còn được thiết kế để tự phát tán sang các thiết bị khác trong cùng môi trường mạng. Khi được kích hoạt bằng tham số "--spread", mã độc sẽ thực hiện di chuyển ngang bằng nhiều phương thức khác nhau như PsExec, WMI, tác vụ theo lịch trình, dịch vụ hệ thống và PowerShell từ xa.Ngoài ra, các tùy chọn "--fast", "--superfast" và "--ultrafast" cho phép điều chỉnh mức độ mã hóa đối với các tệp dung lượng lớn. Các chế độ này không thể được sử dụng đồng thời.
Hướng dẫn sử dụng phần mềm tống tiền Gentlemen (Nguồn: Microsoft).
Sau khi xâm nhập thành công một thiết bị, phần mềm độc hại sẽ biến hệ thống đó thành một điểm phát tán mới bằng cách tạo các thư mục chia sẻ SMB ẩn và cho phép truy cập ẩn danh. Tiếp đó, nó quét các thiết bị khác trong mạng và thử tới 21 phương pháp thực thi khác nhau đối với từng mục tiêu.
Việc triển khai nhiều cơ chế lây lan song song giúp tăng đáng kể tỷ lệ thành công. Nếu một số kỹ thuật bị ngăn chặn, các phương pháp còn lại vẫn có thể hoạt động, từ đó làm tăng nguy cơ lây nhiễm trên diện rộng.
Trong quá trình mã hóa, ransomware tạo một cặp khóa Curve25519 tạm thời gồm khóa riêng được sinh ngẫu nhiên cùng khóa công khai tương ứng để phục vụ việc mã hóa dữ liệu.
Tống tiền kép và cơ chế duy trì hiện diện
Một đặc điểm đáng chú ý khác của The Gentlemen là việc áp dụng chiến thuật tống tiền kép. Bên cạnh việc khóa dữ liệu bằng mã hóa, nhóm tấn công còn đánh cắp thông tin nhạy cảm và đe dọa công khai dữ liệu nếu nạn nhân không chấp nhận trả tiền chuộc.
Cơ chế mã hóa tập tin của phần mềm tống tiền Gentlemen (Nguồn: Microsoft).
Phương thức này tạo áp lực rất lớn đối với các tổ chức hoạt động trong các lĩnh vực như y tế, tài chính và giáo dục, nơi lưu trữ lượng lớn dữ liệu quan trọng và có tính bảo mật cao.
Để duy trì sự hiện diện trên hệ thống, mã độc sử dụng cả các tác vụ theo lịch trình và các khóa tự khởi động trong Registry. Nhờ đó, nó có thể tiếp tục hoạt động ngay cả sau khi máy tính được khởi động lại.
Một số trường hợp còn ghi nhận The Gentlemen thực hiện ghi đè lên vùng dung lượng trống của ổ đĩa nhằm ngăn cản việc khôi phục các dữ liệu đã bị xóa trước đó, khiến quá trình ứng phó sự cố và điều tra trở nên phức tạp hơn.
Sự kết hợp giữa đặc quyền SYSTEM, cơ chế mã hóa mạnh, khả năng phát tán đa dạng và chiến thuật tống tiền kép đã biến The Gentlemen thành một mối đe dọa ransomware có mức độ nguy hiểm cao.
Việc loại ransomware này ngày càng được quảng bá rộng rãi trên các diễn đàn ngầm cho thấy các tổ chức cần chuẩn bị cho khả năng gia tăng các cuộc tấn công trong thời gian tới. Các chuyên gia khuyến nghị ưu tiên theo dõi những dấu hiệu như lạm dụng tác vụ theo lịch trình, hành vi leo thang đặc quyền và các hoạt động di chuyển ngang bất thường trong hệ thống mạng.
Các chỉ báo xâm nhập (IoC)
SHA-256: 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67Mô tả: Mẫu ransomware The Gentlemen
SHA-256: 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b
Mô tả: Tệp nhị phân PsExec
SHA-256: fe1033335a045c696c900d435119d210361966e2fb5cd1ba3382608cfa2c8e68
Mô tả: Tệp hình nền của The Gentlemen
Lưu ý: Các địa chỉ IP và tên miền đã được vô hiệu hóa một phần bằng ký hiệu "[.]" nhằm tránh việc tự động phân giải hoặc tạo liên kết ngoài ý muốn. Chỉ nên khôi phục các giá trị này trong những nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc hệ thống SIEM.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
