កម្មវិធី​ប្រឆាំង​មេរោគ The Gentlemen Ransomware

ការស៊ើបអង្កេតលើប្រតិបត្តិការ The Gentlemen បង្ហាញថា ក្រុមគំរាមកំហែងដែលមានហេតុផលហិរញ្ញវត្ថុដើមឡើយបានដំណើរការជាសាខាមួយដែលធ្វើការវាយប្រហារពីរដងដោយការជំរិតទារប្រាក់ ខណៈពេលដែលទាញយកអត្ថប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធ និងធនធានដែលផ្តល់ដោយប្រព័ន្ធអេកូឡូស៊ី Ransomware-as-a-Service (RaaS) ជាច្រើន រួមទាំង LockBit, Qilin និង Medusa។

ប្រតិបត្តិការនេះត្រូវបានតាមដានដោយអ្នកស្រាវជ្រាវជាច្រើននាក់ក្រោមឈ្មោះ Phantom Mantis ហើយត្រូវបានដឹកនាំដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលនិយាយភាសារុស្ស៊ីម្នាក់ដែលត្រូវបានគេស្គាល់ថាជា LARVA-368។ បុគ្គលនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងឈ្មោះក្លែងក្លាយអនឡាញជាច្រើន រួមទាំង hastalamuerte, ArmCorp, zeta88, nobody0 និង santamuerte។ ក្រុមនេះបានធ្វើសកម្មភាពចាប់តាំងពីខែមីនា ឆ្នាំ 2025 ហើយបានអះអាងជាសាធារណៈថាទទួលខុសត្រូវចំពោះជនរងគ្រោះចំនួន 478 នាក់។

ការលេចចេញនូវក្រុមគំរាមកំហែង

ការផ្លាស់ប្តូរដ៏សំខាន់មួយបានកើតឡើងនៅក្នុងខែកក្កដា ឆ្នាំ២០២៥ នៅពេលដែល Phantom Mantis បានវិវត្តទៅជា The Gentlemen ដែលជាកម្មវិធីភាពជាដៃគូឯករាជ្យមួយដែលលែងពឹងផ្អែកលើប្រតិបត្តិករ RaaS ខាងក្រៅទៀតហើយ។ ការផ្លាស់ប្តូរនេះត្រូវបានអមដោយការប្រើប្រាស់យ៉ាងទូលំទូលាយនៃបញ្ញាសិប្បនិម្មិត ដើម្បីគាំទ្រដល់ការអភិវឌ្ឍ ransomware ការថែទាំឧបករណ៍ និងសកម្មភាពក្រោយការកេងប្រវ័ញ្ច។

ការវាយតម្លៃព័ត៌មានស៊ើបការណ៍សម្ងាត់ការគំរាមកំហែងបង្ហាញថា LARVA-368 ពីមុនបានដំណើរការនៅក្នុងក្រុម ransomware Embargo មុនពេលចាប់ផ្តើមប្រតិបត្តិការដាច់ដោយឡែកមួយក្រោមម៉ាក ArmCorp។ បួនខែក្រោយមក ប្រតិបត្តិការនេះត្រូវបានប្តូរឈ្មោះទៅជា The Gentlemen។

ពេលវេលានៃការផ្លាស់ប្តូរនេះត្រូវបានស្របគ្នាយ៉ាងជិតស្និទ្ធជាមួយនឹងជម្លោះសាធារណៈរវាង LARVA-368 និងប្រតិបត្តិការ ransomware Qilin។ ភ្នាក់ងារគំរាមកំហែងបានចោទប្រកាន់ Qilin ពីបទបោកប្រាស់ចាកចេញ និងលាក់បាំងប្រាក់ចំណូលប្រហែល ៤៨.០០០ ដុល្លារ។

ដើម្បីពង្រឹងវត្តមានទីផ្សារនៅក្នុងសហគមន៍ក្រោមដី Phantom Mantis បានវិនិយោគលើសមាជិកភាពបុព្វលាភនៅលើវេទិកាឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ មុខងារទំនាក់ទំនង និងការគាំទ្របច្ចេកទេសភាគច្រើនត្រូវបានគ្រប់គ្រងដោយបុគ្គលដែលនិយាយភាសារុស្ស៊ីដាច់ដោយឡែកមួយ ដែលគេស្គាល់ថាជា The Gentlemen Data។

ប្រព័ន្ធអេកូឡូស៊ី Ransomware ចាស់ទុំ និងកំពុងរីកចម្រើនយ៉ាងឆាប់រហ័ស

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់លក្ខណៈ The Gentlemen ថាជាប្រតិបត្តិការ ransomware ដែលអាចសម្របខ្លួនបានខ្ពស់ និងវិវត្តយ៉ាងឆាប់រហ័ស ដែលរួមបញ្ចូលគ្នានូវបច្ចេកទេស ransomware ប្រពៃណីជាមួយនឹងសមត្ថភាព RaaS ទំនើប។ គំរូប្រតិបត្តិការរបស់វារួមបញ្ចូលការជំរិតទារប្រាក់ទ្វេដង បំរែបំរួល ransomware ឆ្លងវេទិកា យន្តការផ្សព្វផ្សាយដែលអាចបត់បែនបាន និងការគាំទ្រសាខាយ៉ាងទូលំទូលាយ។

ក្រុមនេះបានក្លាយជាក្រុមឧក្រិដ្ឋជន ransomware ដ៏សកម្មបំផុតមួយនៅក្នុងទិដ្ឋភាពគំរាមកំហែង ដែលមានចំនួនប្រហែល 10% នៃសកម្មភាព ransomware ទាំងអស់ដែលត្រូវបានសង្កេតឃើញក្នុងអំឡុងខែមេសា ឆ្នាំ 2026។ យុទ្ធនាការវាយប្រហារជាធម្មតាធ្វើតាមខ្សែសង្វាក់ឈ្លានពានដែលផ្តោតលើសហគ្រាស ដែលចាប់ផ្តើមតាមរយៈសេវាកម្មអ៊ីនធឺណិតដែលងាយរងគ្រោះ ឬព័ត៌មានសម្ងាត់ដែលត្រូវបានលួចចូល។

ការវិភាគបន្ថែមទៀតបង្ហាញថា ប្រតិបត្តិករអាចកែប្រែយុទ្ធសាស្ត្រដោយថាមវន្តក្នុងអំឡុងពេលមានការឈ្លានពាន។ សកម្មភាពរួមមានការរៀបចំវត្ថុគោលនយោបាយក្រុម (GPOs) ការធ្វើឱ្យខូចគណនីដែលមានសិទ្ធិ និងការដាក់ពង្រាយបច្ចេកទេសផ្ទាល់ខ្លួនដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការគ្រប់គ្រងសុវត្ថិភាពចំណុចបញ្ចប់។

ការចែកចាយជនរងគ្រោះបង្ហាញពីការផ្តោតសំខាន់លើអន្តរជាតិជាចម្បង។ មានតែប្រហែល 13% នៃជនរងគ្រោះដែលគេស្គាល់ប៉ុណ្ណោះដែលមានទីតាំងនៅសហរដ្ឋអាមេរិក ខណៈដែលកំហាប់ជនរងគ្រោះខ្ពស់បំផុតត្រូវបានគេសង្កេតឃើញនៅក្នុងប្រទេសថៃ ចក្រភពអង់គ្លេស ប្រេស៊ីល អាល្លឺម៉ង់ និងឥណ្ឌា។

ការគាំទ្រសម្ព័ន្ធមិត្ត និងប្រតិបត្តិការអាជីវកម្មព្រហ្មទណ្ឌ

The Gentlemen រក្សាប្រព័ន្ធអេកូឡូស៊ីសម្ព័ន្ធដែលមានរចនាសម្ព័ន្ធ ដែលគាំទ្រដោយផ្ទាល់ដោយ LARVA-368។ គណនីដែលឧទ្ទិសដល់គណនី The Gentlemen IM ផ្តល់ជំនួយសម្រាប់ដំណើរការអ៊ិនគ្រីប និងបញ្ហាប្រឈមទាក់ទងនឹងការឈ្លានពាន រួមទាំងការចូលប្រើឧបករណ៍ EDR bypass ដែលប្រើប្រាស់បច្ចេកទេស Bring Your Own Vulnerable Driver (BYOVD)។

សេវាកម្មគាំទ្រសម្រាប់ទាំង The Gentlemen និង The Gentlemen Data អាចរកបានតាមរយៈវេទិកាផ្ញើសារ Tox, SimpleX Chat និង Ricochet Refresh។ សមាជិកដែលមានសក្តានុពលត្រូវតែដាក់ស្នើទិន្នន័យជនរងគ្រោះដែលត្រូវបានគេលួចយ៉ាងហោចណាស់ 1 GB មុនពេលទទួលបានសិទ្ធិចូលប្រើវិបផតថល។ តម្រូវការនេះហាក់ដូចជាមានបំណងការពារអ្នកស្រាវជ្រាវ និងភ្នាក់ងារអនុវត្តច្បាប់ពីការជ្រៀតចូលទៅក្នុងវេទិកាដោយធ្វើពុតជាសមាជិក។

វិបផតថលគ្រប់គ្រងសម្ព័ន្ធភាពអនុញ្ញាតឱ្យមានការគ្រប់គ្រងអ្នកប្រើប្រាស់ ការកំណត់រចនាសម្ព័ន្ធគោលដៅ និងការគ្រប់គ្រងការដាក់ពង្រាយ ransomware។ ដើម្បីទាក់ទាញអ្នកចូលរួម ប្រតិបត្តិការនេះលើកកម្ពស់រចនាសម្ព័ន្ធចែករំលែកប្រាក់ចំណូលដ៏ខ្លាំងក្លា ដែលបែងចែកប្រាក់ចំណេញ 90% ទៅឱ្យសម្ព័ន្ធភាព និង 10% ទៅឱ្យប្រតិបត្តិករ។

ហេដ្ឋារចនាសម្ព័ន្ធបច្ចេកទេស និងវិធីសាស្ត្រវាយប្រហារ

ក្រុមនេះផ្តល់នូវវ៉ារ្យ៉ង់ ransomware ចំនួនប្រាំដែលត្រូវបានរចនាឡើងដើម្បីកំណត់គោលដៅប្រព័ន្ធ Windows, Linux, ESXi, Windows XP និងប្រព័ន្ធក្រោយៗទៀត ក៏ដូចជាបរិស្ថានដែលប្រើប្រាស់ Logical Volume Manager (LVM)។ ប្រតិបត្តិការចូលប្រើដំបូងជាទូទៅផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធដែលប្រឈមមុខនឹងអ៊ីនធឺណិតដូចជាឧបករណ៍ VPN ជញ្ជាំងភ្លើង និងឧបករណ៍គែម។

វដ្តជីវិតនៃការឈ្លានពានរួមបញ្ចូលឃ្លាំងអាវុធដ៏ធំទូលាយនៃឧបករណ៍ និងបច្ចេកទេសវាយប្រហារ៖

• ឧបករណ៍ប្រើប្រាស់របស់ក្រុមក្រហមដូចជា NetExec, RelayKing, TaskHound, PrivHound និង CertiHound ត្រូវបានប្រើសម្រាប់ការឈ្លបយកការណ៍ Active Directory ការរំលោភបំពានវិញ្ញាបនបត្រ ការកើនឡើងសិទ្ធិ និងការរកឃើញការចែករំលែកបណ្តាញ។ ឧបករណ៍បន្ថែមរួមមាន EDRStartupHinder, gfreeze, glinker និង DumpBrowserSecrets ជួយសម្រួលដល់ការគេចវេសពីការការពារ និងការលួចព័ត៌មានសម្ងាត់ ខណៈពេលដែល Velociraptor គាំទ្រសកម្មភាពបញ្ជា និងត្រួតពិនិត្យ។
• សកម្មភាពក្រោយការសម្របសម្រួលជាញឹកញាប់រួមមានការសម្អាតប្រព័ន្ធ Windows កម្មវិធី និងកំណត់ហេតុព្រឹត្តិការណ៍សុវត្ថិភាព ការបិទ Microsoft Defender និងការបង្កើតការដកចេញពីកំចាត់មេរោគដើម្បីកាត់បន្ថយឱកាសរកឃើញ។

មេរោគ ransomware នេះប្រើប្រាស់គំរូអ៊ិនគ្រីបចម្រុះដែលរួមបញ្ចូលគ្នានូវការផ្លាស់ប្តូរសោ X25519 ជាមួយនឹងការអ៊ិនគ្រីបស៊ីមេទ្រី XChaCha20។ ក្រុមអ្នកស្រាវជ្រាវដែលតាមដានចង្កោមសកម្មភាពដូចជា Storm-2697 បានកំណត់ថាមេរោគនេះត្រូវបានសរសេរជា Go ហើយបិទបាំងដោយប្រើ Garble។

សមត្ថភាពដ៏គ្រោះថ្នាក់ជាពិសេសមួយត្រូវបានបើកតាមរយៈប៉ារ៉ាម៉ែត្រ '--spread' ដែលបម្លែងមេរោគ ransomware ពីឧបករណ៍អ៊ិនគ្រីបម៉ាស៊ីនតែមួយទៅជាមេរោគដង្កូវដែលរីករាលដាលដោយខ្លួនឯង ដែលមានសមត្ថភាពចែកចាយខ្លួនវាឆ្លងកាត់ប្រព័ន្ធបណ្តាញដែលអាចទៅដល់បាន។ នៅពេលប្រតិបត្តិជាមួយអាគុយម៉ង់ '--wipe' មេរោគនឹងអនុវត្តសកម្មភាពបន្ថែមដែលមានបំណងលុបបំបាត់វត្ថុបុរាណដែលអាចសង្គ្រោះបានបន្ទាប់ពីការអ៊ិនគ្រីប។

យុទ្ធសាស្ត្រជំរិតទារប្រាក់ និងភាពរហ័សរហួនក្នុងប្រតិបត្តិការ

ភស្តុតាងបង្ហាញថា The Gentlemen ដំណើរការយុទ្ធសាស្ត្រជំរិតទារប្រាក់ច្រើនឆានែល ដែលលាតសន្ធឹងហួសពីការដាក់ពង្រាយ ransomware។ ជនរងគ្រោះក៏អាចប្រឈមមុខនឹងការទំនាក់ទំនងតាមអ៊ីមែលដោយផ្ទាល់ និងយុទ្ធនាការដាក់សម្ពាធតាមទូរស័ព្ទ ដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនលទ្ធភាពនៃការទូទាត់។

វដ្តអភិវឌ្ឍន៍របស់ក្រុមនេះបង្ហាញពីកម្រិតខ្ពស់នៃការឆ្លើយតបមិនធម្មតា។ ឧទាហរណ៍គួរឱ្យកត់សម្គាល់មួយបានកើតឡើងនៅក្នុងខែមេសា ឆ្នាំ២០២៦ នៅពេលដែលប្រតិបត្តិករបានចេញផ្សាយបំណះនៅថ្ងៃដដែលដែលឧបករណ៍ឌិគ្រីបអាចរកបានជាសាធារណៈ។

ជាទូទៅ ការឈ្លានពាននៅតែមិនត្រូវបានរកឃើញរយៈពេលចាប់ពីពីរទៅប្រាំមួយសប្តាហ៍មុនពេលការអ៊ិនគ្រីបត្រូវបានអនុវត្ត។ អង្គការដែលដំណើរការហេដ្ឋារចនាសម្ព័ន្ធ VMware ហាក់ដូចជាចំណុចកណ្តាលជាក់លាក់មួយនៃកិច្ចខិតខំប្រឹងប្រែងកំណត់គោលដៅ។

ការលេចធ្លាយផ្ទៃក្នុងបង្ហាញពីរចនាសម្ព័ន្ធអង្គការ

ការទម្លាយព័ត៌មានស៊ើបការណ៍សម្ងាត់ដ៏សំខាន់មួយបានកើតឡើងនៅក្នុងខែឧសភា ឆ្នាំ២០២៦ បន្ទាប់ពីការលាតត្រដាងមូលដ្ឋានទិន្នន័យ Rocket.Chat ផ្ទៃក្នុងដែលប្រើប្រាស់ដោយក្រុមនេះ។ ការលេចធ្លាយនេះមានសារចំនួន ៣.៣៦៦ ដែលបានផ្លាស់ប្តូរគ្នារវាងខែវិច្ឆិកា ឆ្នាំ២០២៥ និងចុងខែមេសា ឆ្នាំ២០២៦ ដែលផ្តល់នូវការយល់ដឹងដ៏មានតម្លៃអំពីរចនាសម្ព័ន្ធផ្ទៃក្នុង និងលំហូរការងាររបស់ប្រតិបត្តិការ។

ការទំនាក់ទំនងបានបង្ហាញពីការបែងចែកការទទួលខុសត្រូវយ៉ាងច្បាស់លាស់ក្នុងចំណោមសមាជិក និងបានកត់ត្រាការប្រើប្រាស់ភាពងាយរងគ្រោះដែលប៉ះពាល់ដល់បច្ចេកវិទ្យា VMware Aria Operations, Fortinet, Cisco និង Microsoft។ ឯកសារទាំងនោះបានពិពណ៌នាអំពីសហគ្រាសឧក្រិដ្ឋកម្មដែលមានការរៀបចំយ៉ាងល្អជាមួយនឹងតួនាទីឯកទេសដែលគាំទ្រដល់ដំណាក់កាលផ្សេងៗគ្នានៃប្រតិបត្តិការវាយប្រហារ។

ព័ត៌មានដែលលេចធ្លាយនេះក៏បានបង្ហាញពីការត្រួតពិនិត្យ និងវាយតម្លៃយ៉ាងសកម្មលើចំណុចខ្សោយដែលកំពុងលេចចេញ រួមទាំង CVE-2024-55591, CVE-2025-32433 និង CVE-2025-33073។ ការកេងប្រវ័ញ្ចទាំងនេះត្រូវបានផ្សំជាមួយនឹងផ្លូវវាយប្រហារបន្ថែមដែលពាក់ព័ន្ធនឹងការរំលោភបំពានប្រព័ន្ធបម្រុងទុក ការសម្របសម្រួលការគ្រប់គ្រង-ឧបករណ៍បញ្ជា និងបច្ចេកទេសបញ្ជូនត NTLM ដែលបង្កើតបានជាក្របខ័ណ្ឌកេងប្រវ័ញ្ចដែលអាចបត់បែនបានខ្ពស់។

ការលាតត្រដាងឧបករណ៍ប្រតិបត្តិករពេញលេញ

នៅក្នុងខែមីនា ឆ្នាំ២០២៦ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណថតឯកសារដែលលាតត្រដាងដែលបង្ហោះនៅលើសេវាកម្មបង្ហោះ Proton66 bulletproof។ ថតឯកសារនេះមានឯកសារចំនួន ១២៦ ដែលសន្មតថាជារបស់សាខា The Gentlemen RaaS និងបានលាតត្រដាងឧបករណ៍ប្រតិបត្តិករ ransomware ពេញលេញ។

សំណុំឧបករណ៍ដែលលេចធ្លាយនេះគ្របដណ្តប់ស្ទើរតែគ្រប់ដំណាក់កាលនៃវដ្តជីវិតនៃការវាយប្រហារ៖

• ការស៊ើបសួរ និងការវិភាគជនរងគ្រោះ

វិសាលភាពនៃឧបករណ៍នេះ បានបង្ហាញពីភាពចាស់ទុំនៃប្រតិបត្តិការនៃប្រព័ន្ធអេកូឡូស៊ី និងផ្តល់នូវទិដ្ឋភាពដ៏កម្រមួយអំពីធនធានដែលមានសម្រាប់សាខា។

ការគំរាមកំហែងនៅពីក្រោយម៉ាកយីហោ

LARVA-368 បានជាប់ពាក់ព័ន្ធនឹងសកម្មភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលផ្តោតលើការជំរិតទារប្រាក់ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2020។ បទពិសោធន៍ដែលទទួលបានតាមរយៈការសហការជាមួយប្រតិបត្តិការ ransomware ច្រើនហាក់ដូចជាបានផ្តល់នូវជំនាញបច្ចេកទេស ចំណេះដឹងប្រតិបត្តិការ និងបណ្តាញឧក្រិដ្ឋកម្មចាំបាច់ដើម្បីបង្កើត និងពង្រីក The Gentlemen ទៅជាសហគ្រាស RaaS ឯករាជ្យដ៏សំខាន់មួយ។

ការរួមបញ្ចូលគ្នានៃប្រតិបត្តិការនៃភាពស្មុគស្មាញខាងបច្ចេកទេស ការអនុវត្តអាជីវកម្មផ្តោតលើសាខា វដ្តអភិវឌ្ឍន៍យ៉ាងឆាប់រហ័ស និងយុទ្ធសាស្ត្រជំរិតទារប្រាក់យ៉ាងខ្លាំងក្លា បានដាក់ The Gentlemen ស្ថិតក្នុងចំណោមការគំរាមកំហែង ransomware ដ៏លេចធ្លោបំផុតដែលអង្គការនានាទូទាំងពិភពលោកកំពុងប្រឈមមុខ។