ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

3 ข่าว

The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก

the gentlemen raas ransomware cybersecurity attack industries worldwide av killers scaling faster
กลุ่มแรนซัมแวร์ The Gentlemen (Microsoft ติดตามในชื่อ Storm-2697) แตกตัวจาก Qilin กลางปี 2025 พุ่งขึ้นเป็นภัย Tier-1 เจาะเหยื่อกว่า 500 รายใน 70+ ประเทศ คิดเป็น 10% ของแรนซัมแวร์ทั่วโลกในเดือนเมษายน 2026 จุดเด่นคือชุด GentleKiller ที่ใช้ BYOVD อย่างน้อย 8 สายพันธุ์ปิดโปรเซสความปลอดภัยกว่า 400 ตัวจาก 48 ผู้ผลิต ควบกับตัวเข้ารหัส Go ที่แพร่ตัวเองได้ ฐานข้อมูลภายในกลุ่มรั่วเผยแชต 3,366 ข้อความและรายชื่อเหยื่อ 1,570+ ราย

แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี

The Gentlemen RaaS uses GentleKiller EDR killer framework targeting 400 security processes
บริษัท ESET เปิดโปงปฏิบัติการแรนซัมแวร์ The Gentlemen ที่พัฒนาชุดเครื่องมือฆ่า EDR ชื่อ GentleKiller แจกให้สมาชิก (affiliate) ใช้ปิดระบบป้องกันก่อนปล่อยตัวเข้ารหัส GentleKiller มี 8 รูปแบบ แต่ละแบบปลอมเป็นผลิตภัณฑ์ถูกกฎหมายและใช้เทคนิค BYOVD เล็งหา 400 โปรเซสจาก 48 โปรแกรมความปลอดภัย กลุ่มนี้อ้างเหยื่อ 504 รายส่วนใหญ่ในเอเชียตะวันออกเฉียงใต้ และยังพบ infostealer ชื่อ OxideHarvest ขโมยข้อมูลจากเบราว์เซอร์

เครื่องมือของ red team ใหม่ชื่อ EDRChoker ใช้ QoS ของ Windows ในการบีบแบนด์วิดท์ทำให้ EDR agent ไม่สามารถเชื่อมต่อระบบได้ ทำให้ไม่พบความผิดปกติของการโจมตีระบบ

EDRChoker tool uses QoS to block EDR processes
เครื่องมือโอเพนซอร์ส red team ตัวใหม่ชื่อ EDRChoker เปิดเทคนิคใหม่ในการปิดการทำงาน EDR ที่เชื่อมต่อด้วยระบบคลาวด์ ไม่ใช่วิธีการ kill process หรือ Code Injection แต่ใช้วิธีบีบแบนด์วิดท์เครือข่ายของ process EDR ให้เหลือเกือบศูนย์ด้วย Policy-Based QoS ของ Windows ที่ 8 bps ทำให้ TLS handshake ทำไม่สำเร็จ ผลคือ EDR ตัดขาดจากเซิร์ฟเวอร์คลาวด์และไม่สามารถดำเนินการทำงานตามปกติได้ เทคนิคนี้ทำงานผ่าน pacer.sys ที่อยู่ลึกกว่าระดับ WFP ในสแตกเครือข่าย ทำให้หลบ detection rule ที่ตรวจจับการบล็อกแบบ WFP ได้