สรุปสั้น
ปฏิบัติการแรนซัมแวร์แบบ ransomware-as-a-service (RaaS) ชื่อ The Gentlemen กำลังพัฒนาและดูแลชุดเครื่องมือฆ่าระบบ endpoint detection and response (EDR) อย่างต่อเนื่อง โดยแจกจ่ายให้สมาชิก (affiliate) เพื่อใช้ปิดการป้องกันของระบบก่อนปล่อยตัวเข้ารหัส ชุดเครื่องมือที่ครบเครื่องนี้มีศูนย์กลางอยู่ที่เฟรมเวิร์กที่รู้จักกันในชื่อ GentleKiller โดยบริษัท ESET ผู้เปิดเผยรายงานระบุว่ากลุ่มนี้ยังนำเครื่องมือจากบุคคลที่สามหรือเครื่องมือที่รั่วไหลมาผนวกด้วย เช่น HexKiller, ThrottleBlood และ HavocKiller เครื่องมือเหล่านี้ถูกทำให้เป็นมาตรฐานผ่านชั้น defense-evasion ร่วม โดยปลอมตัวเป็นผู้จำหน่ายความปลอดภัยเป็นหลักด้วยข้อมูลเวอร์ชันปลอม รวมถึงคัดลอกใบรับรองและไอคอนที่ถูกกฎหมาย
นับตั้งแต่ปรากฏตัวในเดือนมีนาคม 2568 The Gentlemen ไต่อันดับขึ้นอย่างรวดเร็วและสร้างชื่อในฐานะหนึ่งในกลุ่มแรนซัมแวร์ที่เคลื่อนไหวมากที่สุด ตามข้อมูลจาก Ransomware.live กลุ่มนี้อ้างว่ามีเหยื่อแล้ว 504 รายจนถึงปัจจุบัน โดยส่วนใหญ่อยู่ในเอเชียตะวันออกเฉียงใต้ อเมริกาใต้ และยุโรปตะวันตก รายงานล่าสุดจากนักข่าวสายไซเบอร์ นาย Brian Krebs และบริษัท PRODAFT เปิดเผยว่าผู้นำปฏิบัติการคือชายชาวรัสเซียวัย 36 ปีชื่อ นาย Alexander Andreevich Yapaev (หรือ hastalamuerte) ซึ่งเคยเป็น affiliate ให้กับปฏิบัติการแรนซัมแวร์อื่น รวมถึง Qilin มาก่อน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 20 มิถุนายน 2569 ว่าบริษัท ESET ได้เปิดเผยรายงานเกี่ยวกับปฏิบัติการแรนซัมแวร์ The Gentlemen ที่พัฒนาชุดเครื่องมือฆ่า EDR ชื่อ GentleKiller และแจกจ่ายให้สมาชิกใช้ปิดการป้องกันก่อนปล่อยตัวเข้ารหัส โดยนาย Jakub Souček นักวิจัยความปลอดภัยของ ESET ระบุในรายงานที่แชร์ให้ The Hacker News ว่ากลุ่มนี้ยังนำเครื่องมือบุคคลที่สามหรือที่รั่วไหลมาผนวกด้วย และทำให้เป็นมาตรฐานผ่านชั้นหลบเลี่ยงการตรวจจับร่วมกัน
บริษัทความปลอดภัยจากสโลวาเกียรายนี้ยังชี้ว่ากลุ่มแรนซัมแวร์ดังกล่าวสามารถ “นำ proof-of-concept (PoC) exploit ที่เพิ่งเปิดเผยมาใช้งานจริงได้รวดเร็วผิดปกติ” ซึ่งเกี่ยวข้องกับเทคนิคโจมตีที่เรียกว่า bring your own vulnerable driver (BYOVD) โดยหลายครั้งทำได้ภายในไม่กี่วันหลังการเผยแพร่สู่สาธารณะ ESET อธิบายว่า The Gentlemen เป็นหนึ่งในกลุ่ม RaaS ที่คล่องตัวทางเทคนิคที่สุด ใช้ชุดเทคนิคเพื่อให้ตัวอย่าง EDR killer ที่คอมไพล์แล้วหลบเลี่ยงการตรวจจับ รวมถึงการป้องกัน binary ด้วย Enigma หรือ Themida และใช้ชื่อไฟล์ที่คล้ายกับผู้จำหน่ายความปลอดภัยชื่อดัง ลงรายละเอียดถึงข้อมูลเวอร์ชัน ลายเซ็นดิจิทัล และไอคอน
วิธีการโจมตี
GentleKiller เป็นเครื่องมือที่แพร่หลายที่สุดในชุด มาในแปดรูปแบบที่แตกต่างกัน แต่ละแบบเลียนแบบผลิตภัณฑ์ถูกกฎหมายคนละตัว และใช้ประโยชน์จากไดรเวอร์ที่มีช่องโหว่หรือไดรเวอร์อันตรายคนละตัวในฐานะส่วนหนึ่งของการโจมตี BYOVD โดย GentleKiller จะมองหา 400 โปรเซสที่เชื่อมโยงกับโปรแกรมความปลอดภัย 48 ตัวจากผู้จำหน่ายหลายราย รายการไดรเวอร์ที่แต่ละรูปแบบใช้ประโยชน์ ได้แก่ Kaspersky (“eb.sys”), FACEIT Anti-Cheat (“nseckrnl.sys”), Valorant (“GameDriverX64.sys”), Javelin (“stpm_old.sys” หรือ “stpm_new.sys”), WatchDog (“dmx.sys”), Network Blocker (“360netmon_wfp.sys”), Cleaner (“IMFForceDelete.sys”) และ G11 (“PoisonX.sys”)
ที่น่าสังเกตคือการนำ “PoisonX.sys” มาใช้ในทางที่ผิดถูกบันทึกในช่วงไม่กี่เดือนที่ผ่านมาในการโจมตี BYOVD หลายครั้ง ครั้งหนึ่งถูกใช้ฆ่า CrowdStrike Falcon EDR และอีกแคมเปญหนึ่งที่ Huntress อธิบายไว้เกี่ยวข้องกับการบุกรุกที่ผู้โจมตีนิรนามใช้ BeyondTrust Remote Support เพื่อปล่อยแรนซัมแวร์ลงในเครือข่ายได้สำเร็จ แต่ก่อนหน้านั้นได้ปิดเครื่องมือความปลอดภัยผ่าน “PoisonX.sys” และ “hrwfpdrv.sys” ไปแล้ว นาย Souček ระบุว่าเมื่อตัดชั้นการปลอมตัวและไดรเวอร์เฉพาะออกไป โค้ดเบื้องล่างเผยให้เห็นความเหมือนกันเชิงโครงสร้างและพฤติกรรมจำนวนมาก ซึ่งบ่งชี้อย่างชัดเจนว่ามีการใช้เทมเพลตการพัฒนาร่วมกัน การออกแบบนี้ให้ความสำคัญกับความง่ายในการ deploy และความยืดหยุ่นในการปฏิบัติงานสำหรับ affiliate ขณะที่ลดความพยายามในการพัฒนาของผู้ดำเนินการลง ทำให้ผนวกไดรเวอร์ที่ถูกใช้ในทางที่ผิดเข้าชุดเครื่องมือได้รวดเร็วมากหลังจาก PoC ของ EDR killer ถูกเปิดเผย
นอกจากนี้กลุ่มยังใช้ EDR killer แบบ BYOVD จากบุคคลที่สาม ได้แก่ HexKiller (“googleApiUtil64.sys”) เครื่องมือที่เคยเชื่อว่าเป็นของกลุ่ม Warlock เท่านั้น, ThrottleBlood (“ThrottleBlood.sys”) ที่พบในการโจมตีของ affiliate กลุ่ม MedusaLocker และ DragonForce และ HavocKiller หรือ HwAudKiller (“havoc.sys”) ESET ยังตรวจพบ infostealer ที่เขียนด้วยภาษา Rust ชื่อ OxideHarvest (หรือ buildx641) ซึ่งสามารถเก็บข้อมูลจากเบราว์เซอร์ยอดนิยม รวมถึง Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk และ IceCat โดย ESET ระบุว่าขณะที่กลุ่มแรนซัมแวร์ส่วนใหญ่ยังมอบหมายการฆ่า EDR ให้ affiliate ทำเอง แต่ Gentlemen เลือกรวมศูนย์ฟังก์ชันนี้ด้วยการเสนอชุด EDR killer มาตรฐานพร้อมใช้ ทำให้ลดกำแพงการเข้าสู่ปฏิบัติการของ affiliate ลงอย่างมาก
ผลกระทบต่อไทย
The Gentlemen เป็นกลุ่มแรนซัมแวร์ที่มีเหยื่อกระจุกตัวอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้เป็นหลัก ซึ่งรวมถึงประเทศไทยด้วย จากรายงานก่อนหน้านี้กลุ่มนี้เคยมีเหยื่อในไทยและใช้ช่องโหว่ Fortinet เป็นทางเข้า การที่กลุ่มนี้พัฒนาชุดเครื่องมือฆ่า EDR แบบมาตรฐานพร้อมใช้และแจกให้ affiliate ทำให้จำนวนผู้โจมตีที่สามารถปิดระบบป้องกันขององค์กรได้เพิ่มขึ้นอย่างมาก องค์กรไทยจำนวนมากพึ่งพา EDR/antivirus เป็นแนวป้องกันหลัก แต่เทคนิค BYOVD ที่ใช้ไดรเวอร์ที่มีช่องโหว่ลงนามถูกต้องสามารถปิดเครื่องมือเหล่านี้ได้ก่อนการเข้ารหัส ทำให้องค์กรในไทยที่อาศัย EDR เพียงชั้นเดียวมีความเสี่ยงสูง โดยเฉพาะเมื่อกลุ่มนี้นำ PoC ใหม่มาใช้งานได้ภายในไม่กี่วัน
คำแนะนำ
องค์กรควรเปิดใช้งานฟีเจอร์ป้องกัน BYOVD เช่น Microsoft Vulnerable Driver Blocklist และบังคับใช้ driver block rules เพื่อสกัดไดรเวอร์ที่มีช่องโหว่ที่รู้จัก ควรเปิด tamper protection ของ EDR และตั้งค่าให้แจ้งเตือนเมื่อมีความพยายามปิดหรือยกเลิกบริการความปลอดภัย รวมถึงเฝ้าระวังการโหลดไดรเวอร์ kernel ที่ผิดปกติ เช่นชื่อไฟล์ในรายการที่ ESET เปิดเผย ควรใช้การป้องกันแบบหลายชั้น (defense in depth) ไม่พึ่งพา EDR เพียงตัวเดียว ทั้งการแบ่งเครือข่าย (segmentation) การจำกัดสิทธิ์ admin และการสำรองข้อมูลแบบ offline ที่ทดสอบกู้คืนได้จริง พร้อมเร่งแพตช์ทางเข้าที่กลุ่มนี้นิยมใช้ เช่น อุปกรณ์ VPN และ firewall ของ Fortinet และเฝ้าระวัง infostealer อย่าง OxideHarvest ที่ขโมย credential จากเบราว์เซอร์
Indicators of Compromise (IoCs)
| Indicator | ประเภท | คำอธิบาย |
|---|---|---|
| eb.sys | Driver | ไดรเวอร์ Kaspersky ที่ถูกใช้ใน BYOVD โดย GentleKiller |
| nseckrnl.sys | Driver | ไดรเวอร์ FACEIT Anti-Cheat |
| GameDriverX64.sys | Driver | ไดรเวอร์ Valorant |
| stpm_old.sys / stpm_new.sys | Driver | ไดรเวอร์ Javelin |
| dmx.sys | Driver | ไดรเวอร์ WatchDog |
| 360netmon_wfp.sys | Driver | ไดรเวอร์ Network Blocker |
| IMFForceDelete.sys | Driver | ไดรเวอร์ Cleaner |
| PoisonX.sys | Driver | ไดรเวอร์ G11 — ใช้ฆ่า CrowdStrike Falcon EDR |
| googleApiUtil64.sys | Driver | HexKiller (เดิมเชื่อว่าเป็นของกลุ่ม Warlock) |
| ThrottleBlood.sys | Driver | ThrottleBlood (พบใน MedusaLocker, DragonForce) |
| havoc.sys | Driver | HavocKiller / HwAudKiller |
| hrwfpdrv.sys | Driver | ไดรเวอร์ที่ใช้ร่วมปิดเครื่องมือความปลอดภัย |
| buildx641 (OxideHarvest) | Malware | infostealer เขียนด้วย Rust ขโมยข้อมูลจากเบราว์เซอร์ |
