ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม แรนซัมแวร์ แรนซัมแวร์สุภาพบุรุษ

แรนซัมแวร์สุภาพบุรุษ

โดย Mezo ใน แรนซัมแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
แปลเป็น:

การตรวจสอบการปฏิบัติการของกลุ่ม The Gentlemen เปิดเผยว่า กลุ่มผู้คุกคามที่มุ่งหวังผลกำไรทางการเงินนี้ เดิมทีทำงานในฐานะพันธมิตรที่ดำเนินการโจมตีแบบเรียกค่าไถ่สองเท่า โดยใช้ประโยชน์จากโครงสร้างพื้นฐานและทรัพยากรที่จัดหาโดยระบบนิเวศ Ransomware-as-a-Service (RaaS) หลายแห่ง รวมถึง LockBit, Qilin และ Medusa

ปฏิบัติการนี้ถูกติดตามโดยนักวิจัยหลายคนภายใต้ชื่อ Phantom Mantis และนำโดยอาชญากรไซเบอร์ที่พูดภาษารัสเซียซึ่งระบุตัวตนได้ในชื่อ LARVA-368 บุคคลนี้เกี่ยวข้องกับนามแฝงออนไลน์หลายชื่อ รวมถึง hastalamuerte, ArmCorp, zeta88, nobody0 และ santamuerte กลุ่มนี้เริ่มปฏิบัติการตั้งแต่เดือนมีนาคม 2025 และได้ออกมาอ้างความรับผิดชอบต่อเหยื่อ 478 ราย

การปรากฏตัวของกลุ่มภัยคุกคาม

การเปลี่ยนแปลงครั้งสำคัญเกิดขึ้นในเดือนกรกฎาคม 2025 เมื่อ Phantom Mantis พัฒนาไปเป็น The Gentlemen ซึ่งเป็นโครงการความร่วมมืออิสระที่ไม่ต้องพึ่งพาผู้ให้บริการ RaaS ภายนอกอีกต่อไป การเปลี่ยนแปลงนี้มาพร้อมกับการใช้งานปัญญาประดิษฐ์อย่างกว้างขวางเพื่อสนับสนุนการพัฒนาแรนซัมแวร์ การบำรุงรักษาเครื่องมือ และกิจกรรมหลังการโจมตี

การประเมินข่าวกรองภัยคุกคามบ่งชี้ว่า LARVA-368 เคยปฏิบัติการอยู่ภายในกลุ่มแรนซัมแวร์ Embargo มาก่อนที่จะเริ่มปฏิบัติการแยกต่างหากภายใต้แบรนด์ ArmCorp สี่เดือนต่อมา การปฏิบัติการดังกล่าวได้เปลี่ยนชื่อเป็น The Gentlemen

ช่วงเวลาของการเปลี่ยนแปลงนี้สอดคล้องกับข้อพิพาทสาธารณะระหว่าง LARVA-368 และกลุ่มแฮกเกอร์เรียกค่าไถ่ Qilin อย่างใกล้ชิด โดยผู้ก่อภัยคุกคามกล่าวหา Qilin ว่าทำการฉ้อโกงโดยการปิดกิจการและยักยอกเงินรายได้ไปประมาณ 48,000 ดอลลาร์สหรัฐ

เพื่อเสริมสร้างความแข็งแกร่งในตลาดกลุ่มอาชญากรไซเบอร์ Phantom Mantis ได้ลงทุนในสมาชิกภาพระดับพรีเมียมบนฟอรัมของอาชญากรไซเบอร์ ส่วนการสื่อสารและการสนับสนุนทางเทคนิคส่วนใหญ่ดำเนินการโดยบุคคลอีกคนหนึ่งที่พูดภาษารัสเซียได้ ซึ่งรู้จักกันในชื่อ The Gentlemen Data

ระบบนิเวศของแรนซัมแวร์ที่เติบโตเต็มที่และรวดเร็ว

นักวิจัยด้านความปลอดภัยระบุว่า The Gentlemen เป็นปฏิบัติการแรนซัมแวร์ที่มีความสามารถในการปรับตัวสูงและพัฒนาอย่างรวดเร็ว โดยผสมผสานเทคนิคแรนซัมแวร์แบบดั้งเดิมเข้ากับความสามารถ RaaS สมัยใหม่ รูปแบบการทำงานของมันประกอบด้วยการเรียกค่าไถ่สองเท่า แรนซัมแวร์หลายเวอร์ชันที่ใช้งานได้บนหลายแพลตฟอร์ม กลไกการแพร่กระจายที่ยืดหยุ่น และการสนับสนุนจากพันธมิตรอย่างกว้างขวาง

กลุ่มนี้ได้ก้าวขึ้นมาเป็นหนึ่งในกลุ่มผู้ก่อเหตุโจมตีด้วยแรนซอมแวร์ที่เคลื่อนไหวมากที่สุดอย่างรวดเร็ว โดยคิดเป็นประมาณ 10% ของกิจกรรมแรนซอมแวร์ทั้งหมดที่ตรวจพบในช่วงเดือนเมษายน 2569 แคมเปญโจมตีมักจะดำเนินตามห่วงโซ่การบุกรุกที่มุ่งเป้าไปที่องค์กร โดยเริ่มต้นจากการเจาะระบบบริการที่เชื่อมต่อกับอินเทอร์เน็ตที่มีช่องโหว่ หรือข้อมูลประจำตัวที่ถูกบุกรุก

จากการวิเคราะห์เพิ่มเติมพบว่า ผู้โจมตีสามารถปรับเปลี่ยนกลยุทธ์ได้อย่างยืดหยุ่นระหว่างการโจมตี โดยกิจกรรมต่างๆ ได้แก่ การจัดการ Group Policy Objects (GPOs) การเจาะระบบบัญชีผู้ใช้ที่มีสิทธิ์พิเศษ และการใช้เทคนิคที่ปรับแต่งเองเพื่อหลีกเลี่ยงการควบคุมความปลอดภัยของอุปกรณ์ปลายทาง

การกระจายตัวของเหยื่อบ่งชี้ว่าส่วนใหญ่เกิดขึ้นในระดับนานาชาติ มีเหยื่อที่ทราบชื่อเพียงประมาณ 13% ในสหรัฐอเมริกา ในขณะที่ประเทศที่มีเหยื่อหนาแน่นที่สุด ได้แก่ ไทย สหราชอาณาจักร บราซิล เยอรมนี และอินเดีย

การสนับสนุนพันธมิตรและการดำเนินธุรกิจอาชญากรรม

The Gentlemen มีระบบนิเวศพันธมิตรที่มีโครงสร้างซึ่งได้รับการสนับสนุนโดยตรงจาก LARVA-368 บัญชีเฉพาะบนแพลตฟอร์ม IM ของ The Gentlemen ให้ความช่วยเหลือในกระบวนการเข้ารหัสและปัญหาที่เกี่ยวข้องกับการบุกรุก รวมถึงการเข้าถึงเครื่องมือบายพาส EDR ที่ใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD)

บริการให้ความช่วยเหลือสำหรับทั้ง The Gentlemen และ The Gentlemen Data มีให้บริการผ่านแพลตฟอร์มการส่งข้อความ Tox, SimpleX Chat และ Ricochet Refresh ผู้ที่สนใจเข้าร่วมเป็นพันธมิตรจะต้องส่งข้อมูลเหยื่อที่ถูกขโมยอย่างน้อย 1 GB ก่อนจึงจะได้รับสิทธิ์เข้าถึงพอร์ทัลพันธมิตร ข้อกำหนดนี้ดูเหมือนจะมีจุดประสงค์เพื่อป้องกันไม่ให้นักวิจัยและหน่วยงานบังคับใช้กฎหมายแทรกซึมเข้าไปในแพลตฟอร์มโดยปลอมตัวเป็นพันธมิตร

พอร์ทัลการจัดการพันธมิตรช่วยให้สามารถบริหารจัดการผู้ใช้ กำหนดค่าเป้าหมาย และจัดการการติดตั้งแรนซัมแวร์ได้ เพื่อดึงดูดผู้เข้าร่วม โครงการนี้จึงส่งเสริมโครงสร้างการแบ่งรายได้ที่ดุดัน โดยจัดสรรกำไร 90% ให้กับพันธมิตร และ 10% ให้กับผู้ดำเนินการ

โครงสร้างพื้นฐานทางเทคนิคและวิธีการโจมตี

กลุ่มนี้มีมัลแวร์เรียกค่าไถ่ 5 รูปแบบที่ออกแบบมาเพื่อโจมตีระบบปฏิบัติการ Windows, Linux, ESXi, Windows XP และรุ่นที่ใหม่กว่า รวมถึงสภาพแวดล้อมที่ใช้ Logical Volume Manager (LVM) การโจมตีในขั้นต้นมักมุ่งเป้าไปที่โครงสร้างพื้นฐานที่เชื่อมต่อกับอินเทอร์เน็ต เช่น อุปกรณ์ VPN ไฟร์วอลล์ และอุปกรณ์ปลายทาง

วงจรการบุกรุกประกอบด้วยเครื่องมือและเทคนิคเชิงรุกที่หลากหลาย:

  • เครื่องมือ Red-team เช่น NetExec, RelayKing, TaskHound, PrivHound และ CertiHound ถูกใช้สำหรับการสอดแนม Active Directory, การใช้ใบรับรองในทางที่ผิด, การยกระดับสิทธิ์ และการค้นหาการแชร์เครือข่าย เครื่องมือเพิ่มเติม เช่น EDRStartupHinder, gfreeze, glinker และ DumpBrowserSecrets ช่วยให้หลีกเลี่ยงการป้องกันและขโมยข้อมูลประจำตัวได้ง่ายขึ้น ในขณะที่ Velociraptor สนับสนุนกิจกรรมการควบคุมและสั่งการ
  • มาตรการหลังการถูกโจมตีมักรวมถึงการล้างบันทึกเหตุการณ์ของระบบ Windows, แอปพลิเคชัน และความปลอดภัย การปิดใช้งาน Microsoft Defender และการสร้างข้อยกเว้นสำหรับโปรแกรมป้องกันไวรัสเพื่อลดโอกาสในการตรวจจับ

มัลแวร์เรียกค่าไถ่นี้ใช้รูปแบบการเข้ารหัสแบบไฮบริด โดยผสมผสานการแลกเปลี่ยนคีย์ X25519 กับการเข้ารหัสแบบสมมาตร XChaCha20 นักวิจัยที่ติดตามกลุ่มกิจกรรม Storm-2697 พบว่ามัลแวร์นี้เขียนด้วยภาษา Go และถูกเข้ารหัสให้เข้าใจยากโดยใช้ Garble

พารามิเตอร์ '--spread' มอบความสามารถที่อันตรายเป็นพิเศษ ซึ่งจะเปลี่ยนแรนซัมแวร์จากตัวเข้ารหัสแบบโฮสต์เดียวให้กลายเป็นเวิร์มที่แพร่กระจายตัวเองได้ สามารถกระจายตัวไปยังระบบเครือข่ายที่เข้าถึงได้ เมื่อใช้งานร่วมกับอาร์กิวเมนต์ '--wipe' มัลแวร์จะดำเนินการเพิ่มเติมเพื่อลบข้อมูลที่สามารถกู้คืนได้หลังจากการเข้ารหัส

กลยุทธ์การรีดไถและความคล่องตัวในการปฏิบัติงาน

หลักฐานบ่งชี้ว่ากลุ่มแฮ็กเกอร์ "เดอะ เจนเทิลเมน" ดำเนินกลยุทธ์การขู่กรรโชกแบบหลายช่องทาง ซึ่งนอกเหนือไปจากการใช้แรนซัมแวร์ เหยื่ออาจเผชิญกับการติดต่อทางอีเมลโดยตรงและการกดดันทางโทรศัพท์ที่ออกแบบมาเพื่อเพิ่มโอกาสในการจ่ายเงิน

วงจรการพัฒนาของกลุ่มแสดงให้เห็นถึงการตอบสนองที่รวดเร็วอย่างผิดปกติ ตัวอย่างที่โดดเด่นอย่างหนึ่งเกิดขึ้นในเดือนเมษายน 2026 เมื่อผู้ดำเนินการปล่อยแพทช์ในวันเดียวกับที่โปรแกรมถอดรหัสเปิดให้ใช้งานได้ทั่วไป

โดยทั่วไป การบุกรุกมักจะไม่ถูกตรวจพบเป็นระยะเวลาตั้งแต่สองถึงหกสัปดาห์ก่อนที่จะมีการเข้ารหัส องค์กรที่ใช้งานโครงสร้างพื้นฐานของ VMware ดูเหมือนจะเป็นเป้าหมายหลักของการโจมตี

การรั่วไหลภายในเผยให้เห็นโครงสร้างองค์กร

ความก้าวหน้าครั้งสำคัญด้านข่าวกรองเกิดขึ้นในเดือนพฤษภาคม 2026 หลังจากการเปิดเผยฐานข้อมูลภายในของ Rocket.Chat ที่กลุ่มดังกล่าวใช้ การรั่วไหลของข้อมูลประกอบด้วยข้อความ 3,366 ข้อความที่แลกเปลี่ยนกันระหว่างเดือนพฤศจิกายน 2025 ถึงปลายเดือนเมษายน 2026 ซึ่งให้ข้อมูลเชิงลึกที่มีค่าเกี่ยวกับโครงสร้างภายในและขั้นตอนการทำงานของกลุ่มปฏิบัติการนี้

เอกสารการสื่อสารเผยให้เห็นการแบ่งความรับผิดชอบอย่างชัดเจนระหว่างสมาชิก และบันทึกการใช้ช่องโหว่ที่ส่งผลกระทบต่อเทคโนโลยี VMware Aria Operations, Fortinet, Cisco และ Microsoft บันทึกเหล่านั้นแสดงให้เห็นถึงองค์กรอาชญากรรมที่มีการจัดระเบียบอย่างดี โดยมีบทบาทเฉพาะด้านที่สนับสนุนขั้นตอนต่างๆ ของการโจมตี

ข้อมูลที่รั่วไหลยังแสดงให้เห็นถึงการเฝ้าระวังและประเมินช่องโหว่ที่เกิดขึ้นใหม่อย่างต่อเนื่อง รวมถึง CVE-2024-55591, CVE-2025-32433 และ CVE-2025-33073 การโจมตีเหล่านี้ถูกรวมเข้ากับช่องทางการโจมตีเพิ่มเติมที่เกี่ยวข้องกับการใช้ระบบสำรองข้อมูลในทางที่ผิด การบุกรุกตัวควบคุมการจัดการ และเทคนิคการส่งต่อ NTLM ทำให้เกิดกรอบการโจมตีที่มีความยืดหยุ่นสูง

การเปิดเผยชุดเครื่องมือผู้ปฏิบัติงานที่สมบูรณ์แบบ

ในเดือนมีนาคม 2026 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบไดเร็กทอรีที่เปิดเผยสู่สาธารณะซึ่งโฮสต์อยู่บนบริการโฮสติ้งที่ปลอดภัยอย่าง Proton66 ไดเร็กทอรีดังกล่าวมีไฟล์ 126 ไฟล์ที่ระบุว่ามาจากบริษัทในเครือ The Gentlemen RaaS และได้เปิดเผยเครื่องมือสำหรับผู้ดำเนินการแรนซัมแวร์อย่างครบถ้วน

ชุดเครื่องมือที่รั่วไหลออกมานั้นครอบคลุมเกือบทุกขั้นตอนของวงจรการโจมตี:

  • การสอดแนมและการวิเคราะห์ลักษณะเหยื่อ
  • การยกระดับสิทธิ์
  • การหลบเลี่ยงการป้องกัน
  • การขโมยข้อมูลประจำตัว
  • การเคลื่อนไหวด้านข้าง
  • กลไกการคงอยู่
  • กิจกรรมการเตรียมการก่อนการเข้ารหัส

    • ชุดเครื่องมือที่ครอบคลุมนี้แสดงให้เห็นถึงความพร้อมในการดำเนินงานของระบบนิเวศ และเปิดเผยให้เห็นถึงทรัพยากรที่มีอยู่สำหรับพันธมิตรอย่างที่ไม่เคยมีมาก่อน

    ภัยคุกคามที่ซ่อนอยู่เบื้องหลังแบรนด์

    LARVA-368 มีส่วนเกี่ยวข้องกับกิจกรรมอาชญากรรมไซเบอร์ที่มุ่งเน้นการเรียกค่าไถ่มาตั้งแต่ปี 2020 เป็นอย่างน้อย ประสบการณ์ที่ได้รับจากการร่วมมือกับกลุ่มปฏิบัติการแรนซัมแวร์หลายกลุ่ม ดูเหมือนจะมอบความเชี่ยวชาญทางเทคนิค ความรู้ด้านการปฏิบัติงาน และเครือข่ายอาชญากรที่จำเป็นต่อการก่อตั้งและขยาย The Gentlemen ให้กลายเป็นองค์กร RaaS อิสระขนาดใหญ่

    การผสมผสานระหว่างความซับซ้อนทางเทคนิค แนวทางการดำเนินธุรกิจที่เน้นพันธมิตร วงจรการพัฒนาที่รวดเร็ว และกลยุทธ์การเรียกค่าไถ่ที่รุนแรง ทำให้ The Gentlemen กลายเป็นหนึ่งในภัยคุกคามจากแรนซัมแวร์ที่โดดเด่นที่สุดที่องค์กรทั่วโลกกำลังเผชิญอยู่ในปัจจุบัน

    มาแรง

    Panaptor.co.in

    เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
    การใช้ความระมัดระวังขณะท่องอินเทอร์เน็ตมีความสำคัญมากกว่าที่เคย เว็บไซต์ที่ไม่น่าไว้วางใจมักใช้กลอุบายหลอกลวงเพื่อชักจูงผู้เข้าชมให้ยินยอมหรือมีปฏิสัมพันธ์กับเนื้อหาที่เป็นอันตราย กลอุบายที่พบบ่อย...

    Aibrowseruodate.com

    เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
    การใช้ความระมัดระวังขณะท่องอินเทอร์เน็ตมีความสำคัญมากกว่าที่เคยเป็นมา อาชญากรไซเบอร์และผู้โฆษณาหลอกลวงสร้างเว็บไซต์ปลอมขึ้นมาอย่างต่อเนื่องเพื่อหลอกล่อผู้เข้าชมให้กระทำการที่เป็นอันตราย...

    ExploreOpenWin

    แอดแวร์
    ผู้ใช้ Mac ซึ่งครั้งหนึ่งเคยถือว่าค่อนข้างรอดพ้นจากการโจมตีของมัลแวร์ ตกเป็นเป้าหมายมากขึ้นโดยหน่วยงานที่ไม่ปลอดภัยต่างๆ ศัตรูรายหนึ่งคือแอดแวร์ ExploreOpenWin ซึ่งเป็นสมาชิกของกลุ่ม AdLoad...

    เข้าชมมากที่สุด

    เอพอนเนอร์ดอทคอม

    ปัญหา
    21,506
    อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

    Fuq.คอม

    โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
    19,838
    Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
    กำลังโหลด...