สรุปสั้น

The Gentlemen กลายเป็นหนึ่งในแรนซัมแวร์ที่ทะยานขึ้นเร็วที่สุดในปี 2026 โดยถือกำเนิดกลางปี 2025 จากความขัดแย้งเรื่องการแบ่งเงินภายในโครงการ Qilin RaaS แล้วแยกตัวมาดำเนินการเองในรูปแบบ Ransomware-as-a-Service ที่มีมนุษย์ควบคุมเต็มรูปแบบ ซึ่งบริษัท Microsoft ติดตามในชื่อรหัส Storm-2697 เพียงปีแรกของการดำเนินการอิสระ กลุ่มนี้อ้างเหยื่อไปแล้วกว่า 500 รายใน 70+ ประเทศ คิดเป็นราว 10% ของกิจกรรมแรนซัมแวร์ทั่วโลกในเดือนเมษายน 2026 สิ่งที่ทำให้กลุ่มนี้ต่างจากรายอื่นไม่ใช่แค่ขนาด แต่คือโครงสร้างพื้นฐานสำหรับปิดการทำงานของ EDR/AV ที่ผู้ดำเนินการดูแลเองในชื่อเฟรมเวิร์ก GentleKiller ซึ่งประกอบด้วยเทคนิค BYOVD (Bring Your Own Vulnerable Driver) อย่างน้อย 8 สายพันธุ์ สามารถสั่งปิดโปรเซสความปลอดภัยได้กว่า 400 ตัวจากผู้ผลิต 48 ราย

กลุ่มยังผนวกเครื่องมือปิด EDR ของบุคคลที่สามอย่าง HexKiller, ThrottleBlood และ HavocKiller เข้ามาเป็นชุดหลบเลี่ยงแบบโมดูลาร์ ควบคู่กับตัวเข้ารหัสที่เขียนด้วยภาษา Go ซึ่งแพร่กระจายตัวเองได้แบบเวิร์มและใช้การเข้ารหัสไฮบริด Curve25519 ผสม XChaCha20 ทำให้ The Gentlemen กลายเป็นภัยระดับ Tier-1 ต่อภาคการผลิต สาธารณสุข บริการทางการเงิน และระบบเทคโนโลยีเชิงปฏิบัติการ (OT) ทั่วโลก ข่าวกรองชิ้นสำคัญมาถึงในเดือนพฤษภาคม 2026 เมื่อฐานข้อมูลหลังบ้านภายในของกลุ่มที่ชื่อ “Rocket” ถูกทำให้รั่ว เผยแชตภายในกว่า 3,366 ข้อความ ตัวตนของผู้ดำเนินการ รายชื่อเหยื่อกว่า 1,570 ราย บันทึกการเจรจาค่าไถ่ และชุดเครื่องมือทั้งหมดของกลุ่ม

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 ว่า The Gentlemen ก่อตั้งโดยผู้ดำเนินการที่ใช้นามแฝง hastalamuerte (หรือ zeta88 และถูก PRODAFT ติดตามในชื่อ LARVA-368) ซึ่งเดิมเป็นหัวหน้าทีมพันธมิตรในโครงการ Qilin RaaS ก่อนแยกออกมาตั้งกลุ่มของตัวเองหลังเกิดข้อพิพาทเรื่องการจ่ายเงินในเดือนกรกฎาคม 2025 ผู้ดำเนินการรายนี้ถูกระบุว่าเป็นผู้พูดภาษารัสเซียและลงมือโจมตีด้วยตัวเองควบคู่ไปกับการบริหารแพลตฟอร์ม RaaS โดยกลุ่มยึดนโยบายยกเว้นเป้าหมายในกลุ่มประเทศ CIS อย่างเคร่งครัด ซึ่งสอดคล้องกับพฤติกรรมของกลุ่มภัยคุกคามสาย Russian-nexus ทั่วไป

การวิเคราะห์ฐานข้อมูล Rocket.Chat ที่รั่วออกมาเผยว่ากลุ่มมีแกนกลางราว 9 คนที่ระบุชื่อได้ และมีพันธมิตร (affiliate) อย่างน้อย 8 รายที่ระบุผ่าน TOX ID โดยแบ่งบทบาทชัดเจน เช่น zeta88/hastalamuerte เป็นแอดมินสร้างตัวล็อกเกอร์และบริหารแผงควบคุม RaaS, qbit เป็นผู้ลงมือสแกน Fortinet ทำ NTLM relay และวางตัวปิด EDR ส่วน quant ดูแลการเก็บเกี่ยวข้อมูลรับรองผ่านล็อก จุดที่น่ากังวลคือแอดมินใช้ AI ช่วยพัฒนาเครื่องมืออย่างจริงจัง โดยอ้างถึงการใช้ DeepSeek, Qwen และ Kimi ช่วยเขียนโค้ด และมีรายงานว่าแผงควบคุม GLOCKER ของกลุ่มถูกสร้างเสร็จภายในเพียงสามวันด้วยการเขียนโค้ดโดยมี AI ช่วย กลุ่มเสนอส่วนแบ่งรายได้ให้พันธมิตรสูงถึง 90% ต่อผู้ดำเนินการ 10% ซึ่งถือว่าใจกว้างที่สุดกลุ่มหนึ่งในวงการ พร้อมประกาศรับสมัครนักเจาะระบบและนายหน้าขายการเข้าถึงบนฟอรัม RAMP และ BreachForums โดยเรียกค่าไถ่เริ่มต้นราว 250,000 ดอลลาร์ และพบการยอมจ่ายจริงราว 190,000 ดอลลาร์ในบันทึกการเจรจาที่รั่วออกมา

the gentlemen raas ransomware cybersecurity attack industries worldwide av killers scaling faster
the gentlemen raas ransomware cybersecurity attack industries worldwide av killers scaling faster

รายละเอียดช่องโหว่และวิธีการโจมตี

The Gentlemen ไม่พึ่งพาฟิชชิงในการเข้าถึงครั้งแรก แต่พันธมิตรจะมุ่งเจาะโครงสร้างพื้นฐานขอบเครือข่ายที่เปิดสู่อินเทอร์เน็ต โดยเฉพาะอุปกรณ์ FortiGate VPN, Cisco ASA และ SonicWall กลุ่มเก็บบัญชีอุปกรณ์ FortiGate ที่ถูกเจาะไว้ราว 14,700 เครื่อง และข้อมูลรับรอง VPN ที่ผ่านการ brute-force แล้วกว่า 900 ชุดพร้อมให้พันธมิตรใช้งาน ช่องโหว่หลักที่ถูกใช้ประกอบด้วย CVE-2024-55591 (authentication bypass บนหน้าจัดการ FortiOS/FortiProxy ที่เปิดทางเข้าถึงสิทธิ์ super-admin แบบไม่ต้องยืนยันตัวตน), CVE-2025-32433 (pre-authentication RCE บน Erlang/OTP SSH ในบริบท Cisco), CVE-2025-33073 (NTLM relay ยกระดับสิทธิ์) และ CVE-2025-7771 (ช่องโหว่ไดรเวอร์ ThrottleStop.sys สำหรับรันโค้ดระดับเคอร์เนลผ่าน BYOVD)

หัวใจที่ทำให้กลุ่มนี้โดดเด่นคือขั้นตอนหลบเลี่ยงการตรวจจับด้วยชุด GentleKiller ที่ถูกวางไว้ในไดเรกทอรีชื่อ GentlemenCollection ก่อนเริ่มเข้ารหัส เทคนิค BYOVD ทำงานโดยวางไดรเวอร์เคอร์เนลที่มีลายเซ็นถูกต้องแต่มีช่องโหว่ลงดิสก์ โหลดเป็นเซอร์วิสของ Windows ผ่าน sc create/sc start แล้วส่งคำสั่ง IOCTL จาก user space เข้าถึงสิทธิ์ Ring-0 เพื่อไล่ปิดโปรเซสความปลอดภัยทั้งหมด เอาชนะการป้องกันการงัดแงะในระดับ user-mode ได้ GentleKiller มีอย่างน้อย 8 สายพันธุ์ที่แต่ละตัวปลอมเป็นผลิตภัณฑ์คนละยี่ห้อ เช่น ปลอมเป็น Kaspersky, FACEIT Anti-Cheat, Valorant และ WatchDog โดยอาศัยไดรเวอร์ที่มีช่องโหว่จากซอฟต์แวร์ต่าง ๆ เช่น NSecKrnl, Zemana WatchDog และ Qihoo 360 นอกจากนี้ยังผนวกตัวปิด EDR ของบุคคลที่สามคือ HexKiller (อาศัย BdApi ของ Baidu), ThrottleBlood (อาศัย ThrottleStop.sys) และ HavocKiller (อาศัยไดรเวอร์เสียงของ Huawei ที่ Huntress เปิดเผยเมื่อมีนาคม 2026)

หลังยึดจุดยืนได้ ผู้ดำเนินการจะสำรวจเครือข่ายภายในด้วยชุดเครื่องมือเชิงรุกอย่าง NetExec, RelayKing-Depth (สแกน NTLM relay), CertiHound (ไล่หาการตั้งค่า ADCS ที่ผิดพลาด ESC1–ESC17) และ KslDump/KslKatz (ดัมป์ข้อมูลรับรองจาก LSASS/Kerberos) โดยมุ่งเป้าข้อมูลรับรองระดับ domain admin และใช้ Group Policy Object กระจายการโจมตีทั่วโดเมน จากนั้นตัวเข้ารหัสที่เขียนด้วย Go และทำให้อ่านยากด้วย Garble จะโจมตีได้ทั้ง Windows, Linux, NAS, BSD และ ESXi ด้วยการเข้ารหัสไฮบริด Curve25519 + XChaCha20 ต่อไฟล์ ตัวเข้ารหัสมีโหมดปรับความเร็ว (–fast/–superfast/–ultrafast) โมดูล –spread ที่พยายามรันจากระยะไกล 21 เทคนิคต่อโฮสต์ทำให้มันแพร่ตัวเองแบบเวิร์ม และเมื่อเข้ารหัสเสร็จจะลบ shadow copy ล้าง event log ทับพื้นที่ว่างบนดิสก์ด้วยข้อมูลสุ่ม (–wipe) และวางโน้ตเรียกค่าไถ่ README-GENTLEMEN.txt พร้อมเปลี่ยนภาพพื้นหลังเดสก์ท็อป

ผลกระทบต่อไทย

องค์กรไทยในภาคการผลิต สาธารณสุข การเงิน และโครงสร้างพื้นฐานเชิงปฏิบัติการอยู่ในกลุ่มเป้าหมายโดยตรง เพราะ The Gentlemen เจาะผ่านอุปกรณ์ขอบเครือข่ายที่พบได้ทั่วไปในไทยอย่าง FortiGate VPN, Cisco ASA และ SonicWall ซึ่งหลายองค์กรยังไม่ได้อัปเดตแพตช์ CVE-2024-55591 ที่เปิดทางเข้าถึงสิทธิ์ super-admin แบบไม่ต้องยืนยันตัวตน หากถูกเจาะสำเร็จ ชุด GentleKiller สามารถปิดโซลูชัน EDR/AV ที่องค์กรไทยใช้อยู่ได้เกือบทั้งหมดก่อนลงมือเข้ารหัส ทำให้การป้องกันปลายทางที่วางใจอาจไร้ผล ยิ่งไปกว่านั้นตัวเข้ารหัสที่รองรับ ESXi และ NAS สร้างความเสี่ยงสูงต่อศูนย์ข้อมูลและระบบเวอร์ชวลไลเซชันของไทย และรูปแบบ double extortion ที่ขู่เผยข้อมูลบนเว็บ leak ยังเพิ่มความเสี่ยงด้านชื่อเสียงและการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) เข้าไปอีกชั้น

คำแนะนำ

เร่งอัปเดตแพตช์อุปกรณ์ขอบเครือข่ายทุกตัวโดยด่วน โดยเฉพาะ FortiGate/FortiProxy (CVE-2024-55591), Erlang/OTP SSH (CVE-2025-32433) และแก้ไขความเสี่ยง NTLM relay (CVE-2025-33073) พร้อมปิดหน้าจัดการอุปกรณ์ไม่ให้เปิดสู่อินเทอร์เน็ตและบังคับใช้ MFA ที่ทน phishing กับการเข้าถึง VPN ทั้งหมด เปิดใช้งานการป้องกันการงัดแงะ (tamper protection) และกลไกบล็อกไดรเวอร์ที่มีช่องโหว่ (vulnerable driver blocklist) ของ Windows เพื่อสกัดเทคนิค BYOVD ที่ GentleKiller อาศัย เฝ้าระวังการสร้างเซอร์วิสหรือ scheduled task ชื่อผิดปกติ (เช่น UpdateSystem, UpdateUser, gentlemen_system) และ registry Run key ชื่อ GupdateS/GupdateU รวมถึงไดเรกทอรี GentlemenCollection บนเครื่อง หมั่นสำรองข้อมูลแบบออฟไลน์และแก้ไขไม่ได้ (immutable) แยกจากเครือข่ายหลัก ตรวจสอบการใช้เครื่องมืออย่าง AnyDesk, Velociraptor, SystemBC และ Cloudflare tunnel ที่อาจถูกใช้เป็นช่องทาง C2 และจำกัดสิทธิ์บัญชี domain admin ตามหลัก least privilege

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
นามสกุลไฟล์เข้ารหัส.umc16h, .7mtzhhนามสกุลที่ต่อท้ายไฟล์หลังถูกเข้ารหัส
โน้ตเรียกค่าไถ่README-GENTLEMEN.txtวางในทุกไดเรกทอรีที่ถูกโจมตี
ไฟล์ภาพพื้นหลัง%TEMP%\gentlemen.bmpตั้งเป็น wallpaper หลังเข้ารหัส
ไดเรกทอรีจัดเตรียมGentlemenCollectionที่วางชุดเครื่องมือ GentleKiller
Scheduled taskUpdateSystem, UpdateUser, gentlemen_system, DefU, UpdateGUสร้างเพื่อคงอยู่และรันเป็น SYSTEM
Registry Run keyGupdateS (HKLM), GupdateU (HKCU)กลไก persistence
เครื่องมือ C2/พร็อกซีVelociraptor, ZeroPulse, SystemBC, Cloudflare tunnel, AnyDeskช่องทางควบคุมและคงการเข้าถึง
แบรนด์ credentialgentlemen25, Gentlemen25, gentle26ปรากฏในข้อมูลที่รั่ว

แหล่งอ้างอิง