สรุปสั้น

นักวิจัยวิเคราะห์แรนซัมแวร์สายพันธุ์ใหม่ชื่อ The Gentlemen ที่สร้างความกังวลในวงการความปลอดภัย มันเขียนด้วยภาษา Go และถูก obfuscate ด้วยเครื่องมือ Garble ผสมการเข้ารหัสแบบต่อไฟล์เข้ากับความสามารถแพร่ตัวเองเงียบๆ ทั่วเครือข่าย The Gentlemen ทำงานแบบ ransomware-as-a-service (RaaS) ให้ affiliate เช่าใช้มัลแวร์ ใช้กลยุทธ์กรรโชกสองชั้น คือเข้ารหัสข้อมูลพร้อมขโมยไฟล์อ่อนไหว แล้วขู่เผยแพร่หากไม่จ่ายค่าไถ่ จุดเด่นเชิงเทคนิคคือใช้ SYSTEM scheduled task ยกสิทธิ์สูงสุดก่อนเข้ารหัสไดรฟ์ และแพร่ตัวเองแบบ worm ก่อนเข้ารหัสมันปิด antivirus ลบ backup ล้าง log ระบบ และทำลายร่องรอย forensic เพื่อหลบการตรวจสอบ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 29 พฤษภาคม 2569 ว่า มีการวิเคราะห์แรนซัมแวร์สายพันธุ์ใหม่ชื่อ The Gentlemen ซึ่งกำลังสร้างความตื่นตัวทั่ววงการความปลอดภัยไซเบอร์ มันถูกสร้างด้วยภาษา Go และทำให้อ่านยากด้วยเครื่องมือ obfuscation ชื่อ Garble โดยผสมการเข้ารหัสแบบต่อไฟล์ที่ทรงพลังเข้ากับความสามารถแพร่กระจายตัวเองอย่างเงียบเชียบทั่วทั้งเครือข่ายโดยไม่ต้องอาศัยมนุษย์ The Gentlemen ทำงานเป็นแพลตฟอร์ม RaaS หมายความว่านักพัฒนาหลักให้คนร้ายรายอื่น (affiliate) เช่าเข้าถึงมัลแวร์ กลุ่มนี้ใช้การกรรโชกสองชั้น คือเข้ารหัสข้อมูลของเหยื่อพร้อมกับขโมยไฟล์อ่อนไหว แล้วขู่จะเผยแพร่ข้อมูลที่ขโมยมาต่อสาธารณะหากไม่จ่ายค่าไถ่ สิ่งที่ทำให้ The Gentlemen ต่างจากตัวอื่นคือกลยุทธ์โจมตีแบบเป็นชั้น มันปิดเครื่องมือ antivirus ลบ backup ล้าง log ระบบ และทำลายร่องรอย forensic ก่อนเริ่มเข้ารหัสด้วยซ้ำ แรนซัมแวร์ต้องใช้รหัสผ่านเฉพาะ build จึงจะรันได้ และผู้ควบคุมสามารถสั่งพฤติกรรมเกือบทุกอย่างผ่าน argument บน command line

วิธีการโจมตี

พฤติกรรมที่โดดเด่นเชิงเทคนิคคือวิธีที่มันได้สิทธิ์ระบบสูงสุดก่อนเข้ารหัสไดรฟ์ในเครื่อง มันใช้ scheduled task ในบริบท SYSTEM โดยลบ task ชื่อเดิมที่มีอยู่ก่อน แล้วลงทะเบียนและสั่งทำงาน task ใหม่ทันที เมื่อรันภายใต้บริบทสิทธิ์สูงนี้ มัลแวร์ตั้งตัวแปรสภาพแวดล้อมภายในชื่อ LOCKER_BACKGROUND=1 เพื่อบ่งบอกว่ากำลังทำงานเป็นกระบวนการเข้ารหัสเบื้องหลังด้วยสิทธิ์เต็ม The Gentlemen ไม่หยุดที่เครื่องเดียว เมื่อเปิดใช้ฟีเจอร์แพร่กระจาย มันกลายเป็น worm ที่แพร่ตัวเองไปยังทุกระบบที่เข้าถึงได้ในเครือข่ายภายใน วิธีแพร่กระจายได้แก่ PsExec, Windows Management Instrumentation (WMI), scheduled task ทั้งบริบทผู้ใช้และ SYSTEM, Windows service และ PowerShell remoting ด้วยความสามารถแพร่อัตโนมัติบวกกับการเข้ารหัสแบบต่อไฟล์และการทำลายร่องรอยก่อนลงมือ ทำให้องค์กรที่ถูกโจมตีอาจสูญเสียทั้งเครือข่ายอย่างรวดเร็วและกู้คืน/สืบสวนได้ยาก

The Gentlemen ransomware SYSTEM scheduled task persistence and encryption

ผลกระทบต่อไทย

แรนซัมแวร์แบบ RaaS ที่แพร่ตัวเองอัตโนมัติเป็นภัยร้ายแรงต่อองค์กรไทยทุกขนาด เพราะ affiliate รายใดก็เช่ามาโจมตีเป้าหมายในไทยได้ และเมื่อเข้าถึงเครื่องเดียว worm จะลามทั้งเครือข่ายเอง องค์กรไทยจำนวนมากใช้ Windows domain และเครื่องมือดูแลระบบอย่าง PsExec/WMI/PowerShell remoting อยู่แล้ว ซึ่งเป็นช่องทางเดียวกับที่ The Gentlemen ใช้แพร่ จึงตรวจจับยากเพราะปนกับกิจกรรมปกติ การที่มันปิด AV ลบ backup และล้าง log ก่อนเข้ารหัส หมายความว่าองค์กรที่พึ่ง backup อย่างเดียวอาจกู้ไม่ได้ และการสืบสวนหลังเหตุจะทำได้ยาก หน่วยงานไทยที่ดูแลโครงสร้างพื้นฐานสำคัญและธุรกิจที่ข้อมูลมีมูลค่าสูงควรถือเป็นภัยลำดับต้นที่ต้องเตรียมรับมือ

คำแนะนำ

สำรองข้อมูลแบบ offline/immutable ที่แยกจากเครือข่าย และทดสอบการกู้คืนสม่ำเสมอ เพราะมัลแวร์เล็งลบ backup ที่เข้าถึงได้ จำกัดสิทธิ์และเฝ้าระวังการใช้ PsExec, WMI, PowerShell remoting และการสร้าง scheduled task ในบริบท SYSTEM ที่ผิดปกติ ใช้หลัก least privilege และแบ่งเครือข่าย (segmentation) เพื่อจำกัดการแพร่แบบ worm ติดตั้ง EDR ที่ตรวจจับพฤติกรรม เช่น การปิด AV การลบ shadow copy และการล้าง event log เฝ้าระวังการสร้าง/ลบ scheduled task ชื่อแปลก และตัวแปรสภาพแวดล้อม/โปรเซสเข้ารหัสเบื้องหลังที่น่าสงสัย เตรียมแผนตอบสนองเหตุแรนซัมแวร์ (IR playbook) และฝึกซ้อม รวมถึงการแยกเครื่องที่ติดมัลแวร์ออกจากเครือข่ายอย่างรวดเร็ว

แหล่งอ้างอิง