-
09/04/2020
-
141
-
1.995 bài viết
GentleKiller: Công cụ mới giúp ransomware vô hiệu hóa hơn 400 tiến trình bảo mật
Các nhà nghiên cứu bảo mật về an ninh mạng vừa công bố phân tích chi tiết về GentleKiller, một bộ công cụ chuyên vô hiệu hóa các giải pháp bảo mật đầu cuối (EDR) được phát triển bởi nhóm ransomware-as-a-service (RaaS) có tên Gentlemen ransomware group.
Theo báo cáo được công bố ngày 17/6/2026, Gentlemen hiện là một trong những nhóm ransomware hoạt động mạnh nhất trong quý I/2026. Điểm đáng chú ý là thay vì để các đối tác (affiliate) tự tìm cách vượt qua phần mềm bảo mật, nhóm này trực tiếp phát triển, duy trì và cung cấp một hệ sinh thái công cụ chuyên dùng để vô hiệu hóa EDR trước khi triển khai mã độc tống tiền.
Mô hình này được đánh giá là khá hiếm ngay cả trong giới ransomware chuyên nghiệp, bởi phần lớn các nhóm tấn công hiện nay thường sử dụng công cụ có sẵn hoặc mua từ bên thứ ba.
GentleKiller là gì?
Trọng tâm trong hệ sinh thái tấn công của Gentlemen là framework mang tên GentleKiller. Đây là một bộ công cụ được thiết kế riêng nhằm tiêu diệt hoặc vô hiệu hóa các tiến trình bảo mật đang hoạt động trên máy nạn nhân. Theo ESET, hiện đã ghi nhận ít nhất 8 biến thể GentleKiller khác nhau.
Mỗi biến thể giả mạo một phần mềm hợp pháp và sử dụng một trình điều khiển (driver) ở cấp độ nhân hệ điều hành (kernel) khác nhau để thực hiện tấn công. Điểm nguy hiểm nằm ở việc GentleKiller sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) - một phương pháp ngày càng phổ biến trong các chiến dịch ransomware hiện đại.
Thay vì khai thác trực tiếp hệ điều hành, tin tặc tải lên các driver đã được ký số hợp lệ nhưng tồn tại lỗ hổng bảo mật. Sau khi driver được nạp vào hệ thống, chúng có thể can thiệp ở cấp kernel và chấm dứt hoạt động của các phần mềm bảo mật mà không bị các cơ chế bảo vệ thông thường phát hiện.
Mỗi biến thể giả mạo một phần mềm hợp pháp và sử dụng một trình điều khiển (driver) ở cấp độ nhân hệ điều hành (kernel) khác nhau để thực hiện tấn công. Điểm nguy hiểm nằm ở việc GentleKiller sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) - một phương pháp ngày càng phổ biến trong các chiến dịch ransomware hiện đại.
Thay vì khai thác trực tiếp hệ điều hành, tin tặc tải lên các driver đã được ký số hợp lệ nhưng tồn tại lỗ hổng bảo mật. Sau khi driver được nạp vào hệ thống, chúng có thể can thiệp ở cấp kernel và chấm dứt hoạt động của các phần mềm bảo mật mà không bị các cơ chế bảo vệ thông thường phát hiện.
Hơn 400 tiến trình bảo mật bị đưa vào danh sách mục tiêu
Theo phân tích của ESET, GentleKiller được lập trình để liên tục quét hệ thống mỗi 2 giây nhằm tìm kiếm và chấm dứt các tiến trình bảo mật. Danh sách mục tiêu bao gồm hơn 400 tiến trình thuộc 48 sản phẩm an ninh mạng phổ biến trên toàn cầu. Trong số đó có nhiều tên tuổi lớn như:
- Microsoft Defender
- CrowdStrike
- SentinelOne
- Sophos
- Palo Alto Networks
- ESET
- Bitdefender
- Kaspersky
- Trellix
Việc có thể vô hiệu hóa hàng loạt sản phẩm bảo mật giúp ransomware dễ dàng triển khai giai đoạn tiếp theo như đánh cắp dữ liệu, mã hóa hệ thống hoặc lan rộng trong mạng nội bộ.
Khả năng tận dụng lỗ hổng mới nhanh bất thường
Một trong những điểm khiến các nhà nghiên cứu đặc biệt lo ngại là tốc độ phát triển công cụ của Gentlemen. Theo nghiên cứu, nhóm này có khả năng tích hợp các mã khai thác BYOVD mới chỉ vài ngày sau khi chúng được công bố công khai trên GitHub. Các công cụ như UnknownKiller hay PoisonKiller đã được đưa vào kho vũ khí của Gentlemen gần như ngay lập tức sau khi mã PoC xuất hiện.
Điều này cho thấy nhóm ransomware sở hữu đội ngũ phát triển có năng lực kỹ thuật cao và quy trình vận hành chuyên nghiệp, giúp chúng nhanh chóng biến các nghiên cứu bảo mật công khai thành công cụ tấn công thực tế.
Điều này cho thấy nhóm ransomware sở hữu đội ngũ phát triển có năng lực kỹ thuật cao và quy trình vận hành chuyên nghiệp, giúp chúng nhanh chóng biến các nghiên cứu bảo mật công khai thành công cụ tấn công thực tế.
Không chỉ dùng công cụ tự phát triển
Ngoài GentleKiller, nhóm này còn tích hợp thêm nhiều công cụ tiêu diệt EDR từng xuất hiện trong các chiến dịch ransomware khác. Ba công cụ đáng chú ý gồm:
- HexKiller
- ThrottleBlood
- HavocKiller
Các công cụ này được chuẩn hóa bằng cùng một lớp ngụy trang, sử dụng các bộ bảo vệ mã như Enigma hoặc Themida nhằm tránh bị phân tích. Chúng còn giả mạo thông tin phiên bản, biểu tượng phần mềm và chữ ký số của các hãng bảo mật hợp pháp để gây khó khăn cho quá trình điều tra và truy vết. Sau khi được xử lý qua hệ thống chuẩn hóa của Gentlemen, việc xác định nguồn gốc thực sự của từng công cụ trở nên khó khăn hơn rất nhiều.
Đánh cắp mật khẩu trước khi triển khai ransomware
Bên cạnh việc vô hiệu hóa EDR, Gentlemen còn sử dụng một phần mềm đánh cắp thông tin mang tên OxideHarvest được viết bằng ngôn ngữ Rust. Mã độc này có khả năng thu thập:
- Tài khoản đăng nhập trình duyệt
- Cookie phiên làm việc
- Dữ liệu tự động điền
- Thông tin xác thực lưu trên trình duyệt Chromium
- Dữ liệu từ các trình duyệt Gecko như Firefox
Việc đánh cắp thông tin trước khi mã hóa dữ liệu giúp nhóm tấn công tăng khả năng tống tiền bằng chiến thuật "double extortion" - vừa mã hóa dữ liệu vừa đe dọa công khai thông tin bị đánh cắp.
Nhóm ransomware nhắm nhiều vào Đông Nam Á
Khác với nhiều băng nhóm ransomware thường tập trung vào các mục tiêu tại Mỹ, Gentlemen được cho là ưu tiên các nạn nhân ở Đông Nam Á, Nam Mỹ và Tây Âu. Tiêu chí lựa chọn mục tiêu của nhóm này không dựa nhiều vào vị trí địa lý mà tập trung vào các hệ thống có cấu hình sai trên thiết bị FortiGate.
Nhóm ransomware này xuất hiện từ cuối năm 2025 và được cho là do một cựu thành viên của nhóm Qilin ransomware group sáng lập. Một vụ rò rỉ dữ liệu nội bộ vào tháng 5/2026 cũng đã xác nhận Gentlemen trực tiếp phát triển và phân phối các công cụ EDR-killer cho mạng lưới đối tác của mình. Để thu hút thêm người tham gia, nhóm này còn đưa ra mức chia lợi nhuận lên tới 90%, cao hơn đáng kể so với nhiều chương trình ransomware-as-a-service khác.
Nhóm ransomware này xuất hiện từ cuối năm 2025 và được cho là do một cựu thành viên của nhóm Qilin ransomware group sáng lập. Một vụ rò rỉ dữ liệu nội bộ vào tháng 5/2026 cũng đã xác nhận Gentlemen trực tiếp phát triển và phân phối các công cụ EDR-killer cho mạng lưới đối tác của mình. Để thu hút thêm người tham gia, nhóm này còn đưa ra mức chia lợi nhuận lên tới 90%, cao hơn đáng kể so với nhiều chương trình ransomware-as-a-service khác.
Doanh nghiệp cần lưu ý điều gì?
Sự xuất hiện của GentleKiller cho thấy xu hướng ransomware đang ngày càng chuyên nghiệp hóa. Thay vì chỉ tập trung mã hóa dữ liệu, các nhóm tấn công hiện nay đầu tư mạnh vào công cụ vượt qua hệ thống phòng thủ trước khi triển khai ransomware.
Các chuyên gia khuyến nghị doanh nghiệp:
Các chuyên gia khuyến nghị doanh nghiệp:
- Kích hoạt và duy trì Microsoft Vulnerable Driver Blocklist.
- Áp dụng chính sách chỉ cho phép các driver đáng tin cậy được nạp vào hệ thống.
- Theo dõi các sự kiện tải driver kernel bất thường.
- Giám sát hành vi chấm dứt hàng loạt tiến trình bảo mật.
- Kiểm tra các thư mục và dấu hiệu liên quan đến bộ công cụ GentlemenCollection.
- Triển khai cơ chế phát hiện BYOVD trong hệ thống EDR/XDR.
Với tình hình này cho thấy Gentlemen không còn là một nhóm ransomware thông thường mà đang vận hành như một tổ chức phát triển phần mềm độc hại chuyên nghiệp. Việc xây dựng riêng framework GentleKiller với khả năng vô hiệu hóa hơn 400 tiến trình bảo mật đã giúp nhóm này nâng đáng kể tỷ lệ thành công trong các cuộc tấn công.
Trong bối cảnh các kỹ thuật BYOVD ngày càng được khai thác rộng rãi, doanh nghiệp không chỉ cần vá lỗ hổng và cập nhật phần mềm bảo mật mà còn phải giám sát chặt chẽ các driver được nạp vào hệ thống. Nếu các cơ chế bảo vệ đầu cuối bị vô hiệu hóa từ cấp kernel, ransomware có thể nhanh chóng chiếm quyền kiểm soát và gây ra thiệt hại nghiêm trọng trước khi bị phát hiện.
Trong bối cảnh các kỹ thuật BYOVD ngày càng được khai thác rộng rãi, doanh nghiệp không chỉ cần vá lỗ hổng và cập nhật phần mềm bảo mật mà còn phải giám sát chặt chẽ các driver được nạp vào hệ thống. Nếu các cơ chế bảo vệ đầu cuối bị vô hiệu hóa từ cấp kernel, ransomware có thể nhanh chóng chiếm quyền kiểm soát và gây ra thiệt hại nghiêm trọng trước khi bị phát hiện.
Chỉnh sửa lần cuối: