The Gentlemen và Cuộc Chiến Chống EDR: Xu Hướng Mới Của Ransomware 2026

Tổng quan

Sự trỗi dậy của băng đảng Ransomware-as-a-Service (RaaS) Gentlemen từ giữa năm 2025 đã đánh dấu một bước tiến nguy hiểm trong chiến thuật của tội phạm mạng. Điểm đáng chú ý nhất của nhóm này là việc phát triển và tích hợp GentleKiller - một framework chuyên dụng để "săn lùng" và vô hiệu hóa hơn 400 tiến trình bảo mật (EDR/XDR) bằng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD). Kết hợp với việc sử dụng SystemBC làm proxy ẩn danh, Gentlemen đã chứng minh khả năng xuyên thủng các lớp phòng thủ kiên cố nhất của doanh nghiệp. Để đối phó, các tổ chức cần ngay lập tức chuyển hướng tập trung từ việc chỉ phụ thuộc vào EDR sang việc kiểm soát chặt chẽ các kernel driver được phép thực thi trên hệ thống.

Bên cạnh đó thời gian gần đây Nhóm ransomware TheGentlemen đã đăng tải thông tin về Công ty TNHH Tỷ Thạc (Ty Thac Co., Ltd.) trên trang leak site của mình, tuyên bố đã xâm nhập và đánh cắp dữ liệu của doanh nghiệp. Tỷ Thạc, còn được biết đến với tên Yih Shuo Footwear, là doanh nghiệp sản xuất giày dép quy mô lớn có trụ sở tại tỉnh Đồng Tháp, Việt Nam, chuyên sản xuất và xuất khẩu giày dép cùng các linh kiện liên quan ra thị trường quốc tế.

Thông tin định danh & Hoạt động

• Tên gọi: Gentlemen (hoặc GentleKiller Ransomware)

• Mô hình hoạt động: Ransomware-as-a-Service (RaaS)

• Thời điểm xuất hiện: Giữa năm 2025 (Theo Check Point Research)

• Mức độ hoạt động: Hoạt động mạnh mẽ và là một trong những nhóm active nhất trong Q1/2026.

• Attribution: Suspected là một nhóm nói tiếng Nga (dựa trên các pattern hoạt động của RaaS), tuy nhiên chưa có kết luận chính thức.

Lịch sử và Đặc điểm của băng đảng Gentlemen

Lịch sử hoạt động

Theo các báo cáo điều tra từ ESET và Check Point Research, The Gentlemen được cho là xuất hiện vào cuối năm 2025. Một số nguồn tình báo cho thấy nhóm có liên hệ với các thành viên từng hoạt động trong hệ sinh thái Qilin Ransomware trước khi tách ra xây dựng chương trình RaaS riêng. Ngay từ giai đoạn đầu, The Gentlemen đã lựa chọn mô hình vận hành chuyên nghiệp với cơ chế chia sẻ lợi nhuận hấp dẫn nhằm thu hút các affiliate có kinh nghiệm.

Chỉ trong vài tháng hoạt động, The Gentlemen đã nhanh chóng mở rộng quy mô và ghi nhận hơn 400 nạn nhân trên toàn cầu. Khác với nhiều băng nhóm ransomware tập trung chủ yếu vào các doanh nghiệp tại Bắc Mỹ, The Gentlemen mở rộng phạm vi hoạt động sang nhiều khu vực khác nhau bao gồm châu Âu, Nam Mỹ và Đông Nam Á. Điều này cho thấy nhóm không phụ thuộc vào một thị trường mục tiêu duy nhất mà đang theo đuổi chiến lược săn lùng cơ hội trên phạm vi toàn cầu.

Mục tiêu & Động cơ

Động cơ: Động cơ chính hoàn toàn là trục lợi tài chính (Financial gain) thông qua mô hình tống tiền kép (Double Extortion) - mã hóa dữ liệu và đe dọa rò rỉ thông tin nhạy cảm.

Mục tiêu tấn công chiến lược (Big Game Hunting):

• Nhắm vào nạn nhân "nhà giàu": Nhóm không tấn công rải rác mà tập trung vào các doanh nghiệp, tổ chức quy mô vừa và lớn (Enterprise level). Đặc biệt, chúng có xu hướng lựa chọn các tổ chức đã đầu tư mạnh vào các giải pháp bảo mật Endpoint (EDR/XDR) đắt tiền. Việc vô hiệu hóa thành công các hệ thống này bằng GentleKiller không chỉ phô diễn sức mạnh kỹ thuật mà còn tạo áp lực tâm lý cực lớn lên nạn nhân, buộc họ phải trả các khoản tiền chuộc khổng lồ.

• Ngành nghề: Tương tự các mô hình RaaS khác, nạn nhân thường thuộc các lĩnh vực có dung sai thời gian downtime (thời gian gián đoạn) thấp như Y tế, Sản xuất, Tài chính hoặc Cơ sở hạ tầng trọng yếu.

• Phụ thuộc vào IABs: Mục tiêu cụ thể trong nhiều trường hợp được quyết định bởi "nguồn hàng" từ các Initial Access Brokers (IABs). Affiliates của Gentlemen sẽ mua lại quyền truy cập (thường là VPN/RDP credentials) từ IABs để tiến hành xâm nhập, do đó bất kỳ tổ chức nào lộ lọt thông tin xác thực đều có thể rơi vào tầm ngắm.

Mô hình lợi nhuận: Vận hành theo mô hình RaaS chia sẻ lợi nhuận, trong đó các affiliates (người thực hiện tấn công) sẽ nhận được một tỷ lệ phần trăm tiền chuộc lớn (thường từ 70-80%), phần còn lại thuộc về các nhà phát triển framework Gentlemen và GentleKiller.

Sự khác biệt của The Gentlemen

Điều khiến The Gentlemen trở nên đặc biệt không nằm ở ransomware mà nằm ở chiến lược "Defense Evasion First" – ưu tiên vô hiệu hóa hệ thống phòng thủ trước khi thực hiện các hành động phá hoại.

Trong khi nhiều nhóm ransomware khác vẫn dựa vào các công cụ công khai hoặc kỹ năng cá nhân của affiliate để né tránh EDR, The Gentlemen đã xây dựng một hệ sinh thái công cụ riêng, nổi bật nhất là framework GentleKiller. Đây là bộ công cụ được thiết kế chuyên biệt để tiêu diệt tiến trình bảo mật, khai thác các driver dễ bị tổn thương theo kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) và vô hiệu hóa các cơ chế tự bảo vệ của EDR.

Điểm nhấn Kỹ thuật: GentleKiller Framework & SystemBC

Framework EDR Killer tập trung (Centralized EDR-killing Suite)

Khác với phần lớn các băng đảng RaaS vốn mua lại các tool bypass lẻ tẻ, Gentlemen duy trì và cung cấp cho các affiliates một bộ công cụ (suite) EDR Killer tập trung, được bảo trì liên tục.

• Kỹ thuật BYOVD cốt lõi: Tận dụng các driver hợp lệ của bên thứ ba nhưng chứa lỗ hổng (vulnerable drivers) để hạ gục các trình điều khiển của EDR. Mã độc sẽ drop driver xuống đĩa, đăng ký nó dưới dạng một Windows Service (thường để lại dấu vết Event ID 7045), sau đó liên tục tương tác qua DeviceIoControl để gửi các lệnh terminate (kill) process. Điểm đặc biệt là GentleKiller được lập trình một vòng lặp (loop), tự động quét và kill các tiến trình mục tiêu mỗi 2 giây một lần để đảm bảo EDR không thể tự phục hồi (respawn).

• Quy mô và biến thể: ESET đã ghi nhận ít nhất 8 biến thể của GentleKiller. Công cụ này nhắm mục tiêu vào hơn 400 tiến trình liên quan đến 48 hãng bảo mật hàng đầu (như Microsoft Defender, CrowdStrike, SentinelOne, Kaspersky, v.v.). Các biến thể thường lợi dụng driver như eb.sys (Kaspersky), nseckrnl.sys (FACEIT Anti-Cheat), GameDriverX64.sys (Valorant), và dmx.sys (Zemana).

• Tốc độ vũ khí hóa (Weaponization): Một điểm nhấn đáng sợ của Gentlemen là tốc độ chuyển hóa các mã nguồn PoC thành vũ khí thực chiến. Các công cụ mở như UnknownKiller và PoisonKiller đã được tích hợp vào bộ framework của Gentlemen chỉ vài ngày sau khi chúng được công bố trên GitHub.

• Tích hợp bên thứ ba: Bộ framework còn tích hợp sẵn các công cụ của nhóm khác đã được "chuẩn hóa" (như HexKiller lạm dụng driver Baidu googleApiUtil64.sys, ThrottleBlood, HavocKiller). Tất cả đều được đóng gói và obfuscate qua các công cụ như Enigma hoặc Themida, với metadata và chữ ký số giả mạo y hệt các phần mềm bảo mật hợp lệ, nhằm gây khó khăn tối đa cho các nhà phân tích.

Sự tiếp tay của SystemBC và OxideHarvest

Trong khi GentleKiller dọn đường ở mức Endpoint, Gentlemen triển khai các công cụ khác để củng cố quyền kiểm soát:

• SystemBC: Đóng vai trò như một RAT và SOCKS5 proxy tĩnh lặng. Nó mã hóa và định tuyến toàn bộ traffic C2, che giấu các hoạt động exfiltration (đánh cắp dữ liệu) và lateral movement trong mạng nội bộ, giúp attacker qua mặt hoàn toàn các giải pháp giám sát mạng (NDR/NTA).

• OxideHarvest: Một công cụ đánh cắp thông tin (credential stealer) được viết bằng Rust, chuyên trích xuất thông tin xác thực từ các trình duyệt nhân Chromium và Gecko trên máy nạn nhân, tạo tiền đề cho việc leo thang đặc quyền.

Phân tích Chiến dịch thực tế (DFIR Case Study)

Theo phân tích từ báo cáo DFIR của Check Point Research, một chiến dịch tấn công điển hình của Gentlemen thường diễn ra theo chuỗi Kill-chain cực kỳ hệ thống:

• Giai đoạn 1 - Xâm nhập & Trinh sát (Initial Access & Recon): Kẻ tấn công có được quyền truy cập ban đầu (thường qua tài khoản VPN bị lộ hoặc mua từ IAB). Sau khi thâm nhập, chúng sử dụng OxideHarvest để cào (dump) mật khẩu lưu trên trình duyệt của máy nạn nhân, nhằm leo thang lên đặc quyền Local Admin/Domain Admin.

• Giai đoạn 2 - Thiết lập C2 ẩn danh (Persistence & C2): SystemBC được drop xuống hệ thống và thực thi. Mã độc này nhanh chóng thiết lập một đường hầm (tunnel) SOCKS5 an toàn nối thẳng đến hạ tầng của attacker. Giai đoạn này thường kéo dài trong yên lặng (dwell time) để attacker rà quét toàn bộ network và đánh cắp dữ liệu quan trọng trước khi mã hóa.

• Giai đoạn 3 - Gỡ bỏ lớp áo giáp (Defense Evasion): Ngay trước giờ G, bộ công cụ GentleKiller được kích hoạt bằng quyền Admin. Lúc này, các hệ thống SIEM/Log thường ghi nhận sự kiện load một kernel driver bất thường (Event ID 7045 - Service Creation) mang tên giả mạo một công cụ bảo mật. Ngay lập tức, vòng lặp "2 giây" của GentleKiller bắt đầu hoạt động, gửi hàng loạt lệnh kill xuống Kernel. Kết quả là hàng tá cảnh báo "Service Stopped" hay "Agent Offline" chớp nhoáng xuất hiện trên màn hình quản trị của EDR trước khi hệ thống hoàn toàn mất kết nối.

• Giai đoạn 4 - Đòn kết liễu (Impact): Khi hệ thống phòng thủ đã hoàn toàn "mù lòa" và tê liệt, Ransomware payload chính thức được thả xuống. Nó xóa các bản sao lưu (Shadow Copies) bằng lệnh vssadmin và tiến hành mã hóa dữ liệu hàng loạt với tốc độ chóng mặt, để lại thư đòi tiền chuộc (ransom note) cho nạn nhân.

Nhận định chuyên gia & Tác động tới Việt Nam

Mô hình của Gentlemen cho thấy một sự dịch chuyển đáng lo ngại trong thế giới ngầm: việc tích hợp các "vũ khí hạng nặng" như EDR Killer vào mô hình RaaS đang trở thành tiêu chuẩn mới. Điều này hạ thấp rào cản kỹ thuật cho các affiliates, cho phép chúng thực hiện các cuộc tấn công phức tạp mà trước đây chỉ các nhóm APT mới làm được.

Đánh giá tác động và rủi ro đối với Việt Nam:

• Sự phụ thuộc vào các phần mềm dễ bị lợi dụng (Vulnerable Drivers): Việt Nam là một thị trường sử dụng rất nhiều phần mềm từ các nhà cung cấp đa dạng (bao gồm cả các phần mềm cũ, game anti-cheat, phần mềm quản lý hệ thống không được cập nhật thường xuyên). Các driver như của Kaspersky, Qihoo 360 hay phần mềm chống gian lận game đang nằm rải rác trên rất nhiều hệ thống máy chủ và máy trạm tại Việt Nam. Đây chính là mỏ vàng để Gentlemen khai thác kỹ thuật BYOVD.

• Niềm tin "mù quáng" vào EDR: Thực tế tại nhiều tổ chức, ngân hàng và tập đoàn ở Việt Nam, có một sự tự tin thái quá khi đã đầu tư các giải pháp EDR "top-tier". Tuy nhiên, EDR chủ yếu chạy ở mức User-mode (Ring 3) hoặc một phần ở Kernel-mode (Ring 0). Khi attacker chiếm được quyền Local Admin và load một vulnerable driver có chữ ký hợp lệ, chúng có quyền năng ngang hàng hoặc cao hơn EDR. Giải pháp EDR giá trị hàng triệu đô có thể bị "bịt mắt" chỉ bằng một file .sys nặng vài chục KB.

• Rủi ro lộ lọt tài khoản VPN/RDP (Nguồn cung IABs): Theo quan sát từ các sự cố thực tế tại Việt Nam thời gian qua, thói quen quản lý mật khẩu lỏng lẻo, thiếu MFA và việc sử dụng phần mềm crack đã tạo ra một lượng lớn tài khoản truy cập bị rao bán trên các chợ đen. Đây là đầu vào hoàn hảo cho các băng đảng như Gentlemen mua lại từ IABs để tiến hành tống tiền.

Tóm lại, đối với các doanh nghiệp Việt Nam, cuộc chơi phòng thủ hiện tại không còn nằm ở việc "EDR của ai xịn hơn", mà nằm ở việc ai kiểm soát tốt hơn vấn đề OS hardening (đặc biệt là ngăn chặn load driver trái phép) và quản lý chặt chẽ đặc quyền người dùng.

MITRE ATT&CK techniques

Tactic	Technique ID	Technique Name	Mô tả trong chiến dịch
Initial Access	T1133
T1190	External Remote Services
Exploit Public-Facing Application	Mua lại quyền truy cập (RDP/VPN) từ các IABs hoặc khai thác lỗ hổng trên các thiết bị public-facing.
Execution	T1059.001	Command and Scripting Interpreter: PowerShell	Sử dụng PowerShell để tải payload và tự động hóa việc thực thi.
Privilege Escalation	T1543.003	Create or Modify System Process: Windows Service	Tạo Windows service mới với đặc quyền cao nhất để load các kernel driver có lỗ hổng.
Defense Evasion	T1562.001
T1068	Impair Defenses: Disable or Modify Tools
Exploitation for Privilege Escalation	Lõi của GentleKiller: Lợi dụng lỗ hổng BYOVD để can thiệp vào Ring 0, từ đó kill/disable hơn 400 tiến trình AV/EDR.
Command and Control	T1090.003
T1573.001	Proxy: Multi-hop Proxy
Encrypted Channel: Symmetric Cryptography	Triển khai SystemBC tạo SOCKS5 proxy, mã hóa và ẩn giấu traffic liên lạc với máy chủ C2.
Impact	T1486
T1490	Data Encrypted for Impact
Inhibit System Recovery	Ransomware payload mã hóa dữ liệu hàng loạt. Có thể đi kèm với việc vô hiệu hóa shadow copies (vssadmin) để chặn khôi phục.

IOC

Malicious IP

• 91.107.247[.]163

• 45.86.230[.]112

SHA-256

• 992c951f4af57ca7cd8396f5ed69c2199fd6fd4ae5e93726da3e198e78bec0a5

• 025fc0976c548fb5a880c83ea3eb21a5f23c5d53c4e51e862bb893c11adf712a

• 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67

• 2ed9494e9b7b68415b4eb151c922c82c0191294d0aa443dd2cb5133e6bfe3d5d

• 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235

• 48d9b2ce4fcd6854a3164ce395d7140014e0b58b77680623f3e4ca22d3a6e7fd

• 62c2c24937d67fdeb43f2c9690ab10e8bb90713af46945048db9a94a465ffcb8

• 860a6177b055a2f5aa61470d17ec3c69da24f1cdf0a782237055cba431158923

• 87d25d0e5880b3b5cd30106853cbfc6ef1ad38966b30d9bd5b99df46098e546c

• 8c87134c1b45e990e9568f0a3899b0076f94be16d3c40fa824ac1e6c6ee892db

• 91415e0b9fe4e7cbe43ec0558a7adf89423de30d22b00b985c2e4b97e75076b1

• 994d6d1edb57f945f4284cc0163ec998861c7496d85f6d45c08657c9727186e3

• 9f61ff4deb8afced8b1ecdc8787a134c63bde632b18293fbfc94a91749e3e454

• a7a19cab7aab606f833fa8225bc94ec9570a6666660b02cc41a63fe39ea8b0ad

• b67958afc982cafbe1c3f114b444d7f4c91a88a3e7a86f89ab8795ac2110d1e6

• c46b5a18ab3fb5fd1c5c8288a41c75bf0170c10b5e829af89370a12c86dd10f8

• c7f7b5a6e7d93221344e6368c7ab4abf93e162f7567e1a7bcb8786cb8a183a73

• ec368ae0b4369b6ef0da244774995c819c63cffb7fd2132379963b9c1640ccd2

• efaf8e7422ffd09c7f03f1a5b4e5c2cc32b05334c18d1ccb9673667f8f43108f

• f736be55193c77af346dbe905e25f6a1dee3ec1aedca8989ad2088e4f6576b12

• fc75ed2159e0c8274076e46a37671cfb8d677af9f586224da1713df89490a958

• cc14df781475ef0f3f2c441d03a622ea67cd86967526f8758ead6f45174db78e

• 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b

• fe1033335a045c696c900d435119d210361966e2fb5cd1ba3382608cfa2c8e68

• 5dc607c8990841139768884b1b43e1403496d5a458788a1937be139594f01dca

• 788ba200f776a188c248d6c2029f00b5d34be45d4444f7cb89ffe838c39b8b19

• 1eece1e1ba4b96e6c784729f0608ad2939cfb67bc4236dfababbe1d09268960c

Yara Rule

rule thegentlemen_ransomware
{
    meta:
        author = "@Tera0017/Check Point Research"
        description = "The Gentlemen Ransomware written in GO."
    strings:
        $string1 = "Silent mode (don't rename files)" ascii
        $string2 = "Encrypt only mapped and UNC network shares" ascii
        $string3 = "README-GENTLEMEN.txt" ascii
        $string4 = "gentlemen.bmp" ascii
        $string5 = "gentlemen_system" ascii
        $string6 = "[+] Encryption started. Going background..." ascii
        $string7 = "[+] FULL Encryption started" ascii
    condition:
        uint16(0) == 0x5A4D and 4 of them
}

Khuyến nghị

Kiểm soát và giám sát driver kernel

• Kích hoạt Microsoft Vulnerable Driver Blocklist trên toàn bộ hệ thống Windows.

• Sử dụng Windows Defender Application Control (WDAC) để kiểm soát driver được phép tải.

• Theo dõi các sự kiện liên quan đến:

  • Driver installation.

  • Driver loading.

  • Service creation.

  • Kernel module registration.

• Xây dựng danh sách driver hợp lệ (Driver Allowlist).

• Chặn các driver đã được công khai có lỗ hổng nghiêm trọng.

Giám sát hành vi thay vì chỉ giám sát malware

Cần phát hiện

• Process termination hàng loạt.

• Thao tác bất thường với kernel object.

• Tắt dịch vụ bảo mật.

• Xóa registry liên quan đến EDR.

• Tải driver trái phép.

• Truy cập bất thường vào LSASS hoặc tiến trình bảo mật.

Nên triển khai

• Behavioral Detection.

• UEBA (User and Entity Behavior Analytics).

• Threat Hunting định kỳ.

Tăng cường Tamper Protection

• Bật Tamper Protection trên EDR.

• Sử dụng mật khẩu quản trị riêng cho việc gỡ bỏ agent.

• Áp dụng MFA cho các tài khoản quản trị EDR.

• Giới hạn quyền truy cập bảng điều khiển quản trị.

Bảo vệ tài khoản đặc quyền

• Triển khai Privileged Access Management (PAM).

• Áp dụng MFA bắt buộc.

• Loại bỏ tài khoản quản trị dùng chung.

• Sử dụng tài khoản riêng cho quản trị và công việc hàng ngày.

• Giám sát đăng nhập từ thiết bị hoặc vị trí bất thường.

Tăng cường khả năng phát hiện BYOVD

Một số chỉ báo quan trọng

• Event ID liên quan đến Driver Load.

• Sysmon Event ID 6.

• Service Creation Event ID 7045.

• Process khởi chạy với quyền SYSTEM không thuộc baseline.

• Xuất hiện các driver hiếm gặp trên endpoint.

Threat Hunting

Tìm kiếm:

• Driver mới được nạp trước khi EDR dừng hoạt động.

• Chuỗi sự kiện Driver Load → Process Kill → Ransomware Execution.

• Dấu hiệu khai thác các driver có CVE đã biết.

Sao lưu theo nguyên tắc 3-2-1

Không có biện pháp phòng thủ nào đảm bảo an toàn tuyệt đối.

Do đó cần:

• 3 bản sao dữ liệu.

• 2 loại phương tiện lưu trữ khác nhau.

• 1 bản sao offline hoặc immutable.

Kiểm tra định kỳ

• Khả năng phục hồi dữ liệu.

• Thời gian khôi phục (RTO).

• Mức độ mất dữ liệu chấp nhận được (RPO).

Tham khảo

Killing me gently: Inside Gentlemen’s EDR killer framework

Gentlemen ransomware uses multiple EDR killers to disable defenses

Dark Web Profile: The Gentlemen Ransomware