สรุปสั้น

บริษัท PRODAFT เปิดเผยรายงานวิเคราะห์เชิงลึกเกี่ยวกับกลุ่ม ransomware ชื่อ The Gentlemen (รหัสติดตาม Phantom Mantis) ที่กลายเป็นหนึ่งในกลุ่มที่เคลื่อนไหวมากที่สุดในปี 2569 โดยมีเหยื่อรวม 478 รายและคิดเป็น 10% ของกิจกรรม ransomware ทั้งหมดในเดือนเมษายน 2569 กลุ่มนี้นำโดยอาชญากรไซเบอร์ชาวรัสเซียที่ใช้ชื่อเล่นหลายชื่อรวมถึง LARVA-368 ซึ่งมีประสบการณ์จากการเป็น affiliate ของ LockBit, Qilin และ Medusa ก่อนแยกตัวมาตั้งปฏิบัติการ RaaS ของตัวเอง

สิ่งที่ทำให้ The Gentlemen โดดเด่นคือการใช้ AI ในการพัฒนาและบำรุงรักษา ransomware และเครื่องมือต่างๆ รวมถึงช่วยในขั้นตอน post-exploitation มัลแวร์เขียนด้วยภาษา Go และเมื่อเปิดใช้ argument –spread จะเปลี่ยนจากเครื่องมือเข้ารหัสไฟล์ธรรมดาเป็น worm ที่แพร่กระจายไปยังทุกเครื่องที่เข้าถึงได้ในเครือข่าย เป็นที่น่าสังเกตว่าเหยื่อส่วนใหญ่ของ The Gentlemen กระจายอยู่ในไทย สหราชอาณาจักร บราซิล เยอรมนี และอินเดีย โดยมีเพียง 13% ที่อยู่ในสหรัฐฯ

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 11 มิถุนายน พ.ศ. 2569 ว่า บริษัท PRODAFT เผยแพร่รายงานวิเคราะห์เชิงลึกเกี่ยวกับปฏิบัติการ ransomware ชื่อ The Gentlemen ซึ่งเติบโตจากกลุ่ม affiliate ที่ทำงานให้ RaaS หลายราย จนกลายเป็นปฏิบัติการอิสระที่มีขนาดใหญ่

กลุ่มนี้นำโดยบุคคลที่ใช้ชื่อเล่นว่า LARVA-368 ซึ่งนักข่าวด้านความมั่นคงไซเบอร์นาย Brian Krebs ได้เปิดเผยตัวตนว่าเป็นนาย Alexander Andreevich Yapaev วัย 36 ปี จากเมือง Izhevsk ประเทศรัสเซีย LARVA-368 เคยเป็นสมาชิกกลุ่ม Embargo ransomware ก่อนจะตั้งปฏิบัติการในชื่อ ArmCorp แล้วเปลี่ยนชื่อเป็น The Gentlemen ในเดือนกรกฎาคม 2568

ปฏิบัติการนี้ดำเนินงานในรูปแบบ RaaS (Ransomware-as-a-Service) โดยแบ่งกำไร 90% ให้ affiliate และ 10% สำหรับผู้ดำเนินการ มี ransomware 5 เวอร์ชันสำหรับ Windows, Linux, ESXi, Windows XP+ และ LVM การเข้าถึงเป้าหมายเริ่มต้นผ่าน edge device เช่น VPN appliance และไฟร์วอลล์ โดยเฉพาะของ Cisco และ Fortinet FortiGate

เมื่อเดือนที่แล้ว มีการรั่วไหลของฐานข้อมูล Rocket.Chat ภายในกลุ่มที่ประกอบด้วยข้อความ 3,366 ข้อความระหว่างเดือนพฤศจิกายน 2568 ถึงเมษายน 2569 เปิดเผยว่ากลุ่มติดตามและประเมินช่องโหว่อย่าง CVE-2024-55591, CVE-2025-32433 และ CVE-2025-33073 อย่างแข็งขัน

วิธีการโจมตี

The Gentlemen ใช้ห่วงโซ่การโจมตีที่ซับซ้อน เริ่มจากการเข้าถึงผ่านอุปกรณ์ edge ที่มีช่องโหว่ จากนั้นใช้เครื่องมือ red team เช่น NetExec, RelayKing, TaskHound, PrivHound และ CertiHound สำหรับ Active Directory discovery, certificate abuse, privilege escalation และ file share discovery มีเครื่องมือหลบเลี่ยง EDR เช่น EDRStartupHinder, gfreeze และ glinker และใช้ Velociraptor เป็น C2

ransomware เขียนด้วยภาษา Go และ obfuscate ด้วย Garble ใช้ระบบเข้ารหัสแบบ hybrid คือ X25519 key exchange รวมกับ XChaCha20 symmetric encryption เมื่อใช้ argument –spread มัลแวร์จะเปลี่ยนเป็น worm ที่พยายามแพร่กระจายไปยังทุกเครื่องในเครือข่ายผ่าน SSH argument –wipe จะลบร่องรอยที่กู้คืนได้จากดิสก์หลังเข้ารหัส กลุ่มยังใช้ BYOVD technique เพื่อ bypass EDR และมีกระบวนการพัฒนาที่ตอบสนองรวดเร็ว เมื่อ decryptor ถูกปล่อยในเดือนเมษายน 2569 กลุ่มออกแพตช์แก้ไขภายในวันเดียวกัน

ผลกระทบต่อไทย

รายงานจาก SOCRadar ระบุว่าไทยเป็นหนึ่งในประเทศที่มีเหยื่อของ The Gentlemen มากที่สุด ซึ่งแตกต่างจากกลุ่ม ransomware อื่นที่มักมุ่งเป้าสหรัฐฯ เป็นหลัก องค์กรไทยโดยเฉพาะที่ใช้ VMware infrastructure, Fortinet FortiGate หรือ Cisco VPN ควรให้ความสำคัญกับภัยคุกคามจากกลุ่มนี้เป็นพิเศษ เนื่องจากระยะเวลาเฉลี่ยตั้งแต่เข้าถึงระบบจนเข้ารหัสอยู่ที่ 2-6 สัปดาห์ ซึ่งเป็นช่วงเวลาที่ยังสามารถตรวจจับและตอบสนองได้หากมีระบบเฝ้าระวังที่ดี

คำแนะนำ

องค์กรในไทยควรเร่งอัปเดตอุปกรณ์ edge device โดยเฉพาะ Fortinet FortiGate และ Cisco VPN ให้เป็นเวอร์ชันล่าสุด ตรวจสอบว่า EDR ทำงานปกติและไม่ถูก bypass ด้วยเทคนิค BYOVD เฝ้าระวังพฤติกรรมผิดปกติใน Active Directory เช่นการเปลี่ยนแปลง GPO และการ compromise บัญชีที่มีสิทธิ์สูง ควรมีแผนสำรองข้อมูลแบบ offline ที่ทดสอบกู้คืนอย่างสม่ำเสมอ และจำกัดการเข้าถึง SSH ภายในเครือข่ายเพื่อป้องกันการแพร่กระจายแบบ worm

แหล่งอ้างอิง