ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

7 ข่าว

The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก

the gentlemen raas ransomware cybersecurity attack industries worldwide av killers scaling faster
กลุ่มแรนซัมแวร์ The Gentlemen (Microsoft ติดตามในชื่อ Storm-2697) แตกตัวจาก Qilin กลางปี 2025 พุ่งขึ้นเป็นภัย Tier-1 เจาะเหยื่อกว่า 500 รายใน 70+ ประเทศ คิดเป็น 10% ของแรนซัมแวร์ทั่วโลกในเดือนเมษายน 2026 จุดเด่นคือชุด GentleKiller ที่ใช้ BYOVD อย่างน้อย 8 สายพันธุ์ปิดโปรเซสความปลอดภัยกว่า 400 ตัวจาก 48 ผู้ผลิต ควบกับตัวเข้ารหัส Go ที่แพร่ตัวเองได้ ฐานข้อมูลภายในกลุ่มรั่วเผยแชต 3,366 ข้อความและรายชื่อเหยื่อ 1,570+ ราย

แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี

The Gentlemen RaaS uses GentleKiller EDR killer framework targeting 400 security processes
บริษัท ESET เปิดโปงปฏิบัติการแรนซัมแวร์ The Gentlemen ที่พัฒนาชุดเครื่องมือฆ่า EDR ชื่อ GentleKiller แจกให้สมาชิก (affiliate) ใช้ปิดระบบป้องกันก่อนปล่อยตัวเข้ารหัส GentleKiller มี 8 รูปแบบ แต่ละแบบปลอมเป็นผลิตภัณฑ์ถูกกฎหมายและใช้เทคนิค BYOVD เล็งหา 400 โปรเซสจาก 48 โปรแกรมความปลอดภัย กลุ่มนี้อ้างเหยื่อ 504 รายส่วนใหญ่ในเอเชียตะวันออกเฉียงใต้ และยังพบ infostealer ชื่อ OxideHarvest ขโมยข้อมูลจากเบราว์เซอร์

ระบบนิเวศแรนซัมแวร์รวมตัวรอบอดีตสมาชิก LockBit — กลุ่มใหม่ Hyflock และ The Gentlemen เติบโตอย่างรวดเร็ว

Ransomware ecosystem consolidation around LockBit alumni and new RaaS groups
รายงาน Q1/2026 พบเหยื่อแรนซัมแวร์ 2,122 รายสูงสุดเป็นอันดับ 2 ตลอดกาล กลุ่มใหม่ Hyflock และ The Gentlemen ที่อ้างสายสัมพันธ์กับ LockBit และ Qilin เติบโตอย่างรวดเร็ว โดย The Gentlemen ขยายเหยื่อ 315% ในไตรมาสเดียว กลุ่ม 10 อันดับแรกครองส่วนแบ่ง 71% ของเหยื่อทั้งหมด สะท้อนการรวมตัวของตลาดแรนซัมแวร์

The Gentlemen Ransomware มีเหยื่อ 478 ราย — ใช้ AI พัฒนามัลแวร์ แพร่กระจายแบบ Worm ข้ามเครือข่ายได้เอง

The Gentlemen ransomware operation analysis
PRODAFT เปิดเบื้องหลังกลุ่ม The Gentlemen (Phantom Mantis) ที่มีเหยื่อ 478 รายแล้ว นำโดยอาชญากรไซเบอร์ชาวรัสเซียที่ใช้ AI ช่วยพัฒนา ransomware เวอร์ชันใหม่มีความสามารถแพร่กระจายแบบ worm ข้ามเครือข่ายผ่าน SSH ได้เอง เหยื่อส่วนใหญ่กระจายอยู่ในไทย สหราชอาณาจักร บราซิล เยอรมนี และอินเดีย

The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin

The Gentlemen ransomware group uses Fortinet exploits AI and custom C2 frameworks
บริษัท Vectra AI วิเคราะห์ข้อความ 3,366 รายการที่รั่วจากเซิร์ฟเวอร์ Rocket.Chat ของกลุ่มแรนซัมแวร์ The Gentlemen ที่พูดภาษารัสเซีย ซึ่งพุ่งขึ้นเป็นกลุ่มที่เคลื่อนไหวมากอันดับ 2 รองจาก Qilin ในปี 2569 ใช้ช่องโหว่ FortiOS CVE-2024-55591 เป็นทางเข้าหลัก brute-force VPN Fortinet ราว 1,000 ตัว ใช้ C2 ของตัวเองชื่อ G-BOT แทน Cobalt Strike โจมตี hypervisor โดยตรง และใช้ GPT/Claude ช่วยเจรจาค่าไถ่ พบความเชื่อมโยงกับ Black Basta ผ่าน negotiator ‘Tinker’ และ Matrix server เดียวกัน

The Gentlemen: แรนซัมแวร์ใช้ SYSTEM Scheduled Task ยกสิทธิ์เข้ารหัสไดรฟ์ — แพร่ตัวเองทั่วเครือข่ายแบบ worm

The Gentlemen ransomware SYSTEM scheduled task self-propagating worm
นักวิจัยวิเคราะห์แรนซัมแวร์สายพันธุ์ใหม่ The Gentlemen ที่เขียนด้วย Go และ obfuscate ด้วย Garble ทำงานแบบ RaaS ขโมยข้อมูลคู่กับเข้ารหัสเพื่อกรรโชกสองชั้น จุดเด่นคือใช้ SYSTEM scheduled task ยกสิทธิ์สูงสุดก่อนเข้ารหัสไดรฟ์ และแพร่ตัวเองทั่วเครือข่ายแบบ worm ผ่าน PsExec, WMI, scheduled task, Windows service และ PowerShell remoting พร้อมปิด AV ลบ backup ล้าง log และทำลายร่องรอย forensic ก่อนเข้ารหัส

The Gentlemen — แก๊ง Ransomware หน้าใหม่พุ่งแรง 332 เหยื่อใน 5 เดือน ก่อนโดนแฮ็กเกอร์เจาะกลับเปิดโปงระบบทั้งหมด

The Gentlemen Ransomware Gang Rise and Internal Breach
กลุ่ม The Gentlemen ปฏิบัติการ Ransomware-as-a-Service (RaaS) ที่เปิดตัวกลางปี 2025 ทำสถิติเหยื่อ 332 รายใน 5 เดือนแรกของปี 2569 เติบโตเร็วกว่ากลุ่มอื่นด้วยโมเดล affiliate ที่ใจกว้างและเป็นพันธมิตรกับ BreachForums แต่เมื่อ 4 พฤษภาคม ถูกกลุ่มนิรนามเจาะระบบ backend เปิดเผย affiliate, เครื่องมือ และข้อมูลเหยื่อทั้งหมด