สรุปสั้น
กลุ่ม The Gentlemen เป็นปฏิบัติการ Ransomware-as-a-Service (RaaS) สัญชาติรัสเซียที่เปิดตัวกลางปี 2025 ภายใน 5 เดือนแรกของปี 2569 กลุ่มนี้มีเหยื่อถึง 332 ราย ทำให้กลายเป็น ransomware ที่เติบโตเร็วที่สุดกลุ่มหนึ่ง Comparitech ระบุว่า The Gentlemen อ้างเหยื่อ 202 รายในไตรมาสล่าสุด รองจาก Qilin ที่มี 353 ราย ความสำเร็จมาจาก affiliate model ที่ใจกว้าง กลยุทธ์การโจมตีแบบ opportunistic และโครงสร้างองค์กรที่มีประสิทธิภาพ เมื่อวันที่ 16 พฤษภาคม 2569 The Gentlemen กลายเป็นพันธมิตรอย่างเป็นทางการของ BreachForums แต่เมื่อวันที่ 4 พฤษภาคม กลุ่มนิรนามเจาะ backend database ของ The Gentlemen สำเร็จ เปิดโปง affiliate, เครื่องมือปฏิบัติการ และข้อมูลเหยื่อทั้งหมด
รายละเอียดข่าว
เว็บไซต์ Dark Reading รายงานเมื่อวันที่ 17 พฤษภาคม พ.ศ. 2569 ว่า The Gentlemen เป็น ransomware gang ที่เติบโตเร็วผิดปกติ โดยใช้เวลาเพียง 9 เดือนในการมีเหยื่อเกิน 150 ราย ขณะที่กลุ่ม DragonForce ใช้เวลาเกือบ 2 ปี ผู้เชี่ยวชาญเชื่อว่า The Gentlemen ใช้ ransomware builder ที่อิงกับ Conti ซึ่งเป็นกลุ่ม ransomware ชื่อดังที่ปิดตัวไปแล้ว ความล้มเหลวด้าน OPSEC ของ The Gentlemen เปิดให้เห็นว่าปัจจัยที่ช่วยให้กลุ่มเติบโตคือ affiliate model ที่แบ่งส่วนแบ่งให้ affiliates สูง กลยุทธ์ TTPs แบบ opportunistic ที่ไม่เจาะจงเป้าหมาย และโครงสร้างองค์กรที่มีประสิทธิภาพ การเป็นพันธมิตรกับ BreachForums ทำให้ The Gentlemen สามารถโฆษณาบนแพลตฟอร์มและได้รับการสนับสนุนด้าน infrastructure อย่างไรก็ตาม เมื่อวันที่ 4 พฤษภาคม กลุ่มนิรนามสามารถเจาะ backend database ของ The Gentlemen ได้ เปิดเผยข้อมูลภายในทั้งหมด
วิธีการโจมตี
The Gentlemen ใช้โมเดล double extortion เหมือนกลุ่ม ransomware สมัยใหม่ส่วนใหญ่:
- ขโมยข้อมูลออกจากระบบเหยื่อก่อน
- เข้ารหัสระบบเพื่อหยุดการทำงาน
- เรียกค่าไถ่ 2 ชั้น ทั้งค่าถอดรหัสและค่าไม่เผยแพร่ข้อมูล
- ใช้ SystemBC botnet เป็นเครื่องมือสนับสนุนการโจมตี
- ใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) เพื่อปิดซอฟต์แวร์ security บนเครื่องเหยื่อ
กลยุทธ์แบบ opportunistic หมายความว่าไม่เจาะจงอุตสาหกรรม โจมตีทุกองค์กรที่มีช่องโหว่
ผลกระทบต่อไทย
The Gentlemen ใช้กลยุทธ์แบบ opportunistic ไม่เจาะจงเป้าหมายภูมิภาค หมายความว่าองค์กรในประเทศไทยก็อยู่ในข่ายเสี่ยงเท่าเทียมกับองค์กรอื่นทั่วโลก โดยเฉพาะองค์กรที่มีระบบเปิดเข้าถึงจากอินเทอร์เน็ตและยังไม่ได้แพตช์ช่องโหว่ การเติบโตอย่างรวดเร็วของกลุ่มนี้สะท้อนแนวโน้มที่ ransomware กลายเป็นธุรกิจที่ “เข้าถึงง่าย” ขึ้นเรื่อยๆ ผ่านโมเดล RaaS ทำให้จำนวนผู้โจมตีเพิ่มขึ้นอย่างต่อเนื่อง
คำแนะนำ
- เฝ้าระวัง IOCs ที่เกี่ยวข้องกับ The Gentlemen และ SystemBC botnet
- ตรวจสอบว่าระบบ security ไม่ถูกปิดโดย BYOVD โดยใช้ driver blocklist ของ Microsoft
- แพตช์ช่องโหว่ที่เปิดเข้าถึงจากอินเทอร์เน็ตเป็นลำดับแรก
- ทำ แบ็กอัป แบบ offline ทดสอบกู้คืนเป็นประจำ
- พิจารณาใช้ EDR/XDR ที่สามารถตรวจจับ ransomware behavior patterns
