Bên trong vụ rò rỉ của The Gentlemen: Cách một băng nhóm RaaS mới bùng nổ trong năm 2026

Điều này cho thấy nhóm đã mở rộng hoạt động rất nhanh trong thời gian ngắn.

Mô hình kinh doanh ransomware‑as‑a‑service

Giống nhiều nhóm ransomware hiện đại, The Gentlemen hoạt động theo mô hình RaaS (Ransomware‑as‑a‑Service).

Trong mô hình này:

• Nhóm cốt lõi phát triển mã ransomware và vận hành hạ tầng.
• Các affiliate (cộng tác viên tấn công) thực hiện xâm nhập hệ thống mục tiêu.
• Tiền chuộc được chia phần trăm giữa affiliate và nền tảng.

Dữ liệu backend bị rò rỉ cho thấy nhiều tài khoản điều hành trong bảng điều khiển RaaS. Hạ tầng chính được cho là do một quản trị viên có bí danh “zeta88” (hay “hastalamuerte”) quản lý.

Cách tổ chức này giúp nhóm có thể mở rộng nhanh mà không cần đội ngũ trung tâm quá lớn, vì phần lớn công việc tấn công do affiliate thực hiện.

Tấn công từ "rìa mạng": thiết bị hạ tầng lộ ra internet

Một phát hiện quan trọng từ dữ liệu rò rỉ là nhóm này phụ thuộc nhiều vào thiết bị mạng công khai trên internet để lấy quyền truy cập ban đầu.

Các mục tiêu phổ biến bao gồm:

• firewall
• gateway VPN
• hệ thống quản trị mạng

Những thiết bị này thường nằm ở rìa hệ thống (network edge) và nếu cấu hình kém hoặc chưa vá lỗi, chúng trở thành điểm xâm nhập cực kỳ hiệu quả.

Một lỗ hổng được nhắc đến nhiều là CVE‑2024‑55591, ảnh hưởng đến FortiOS và FortiProxy của Fortinet. Lỗ hổng này cho phép kẻ tấn công từ xa bỏ qua xác thực và chiếm quyền quản trị cấp cao (super‑admin) thông qua các yêu cầu được chế tạo đặc biệt.

Khi kiểm soát được firewall hoặc gateway VPN, kẻ tấn công có thể thâm nhập sâu vào mạng nội bộ mà không kích hoạt nhiều cơ chế bảo vệ endpoint truyền thống.

Kho thiết bị FortiGate bị xâm nhập quy mô lớn

Một chi tiết gây chú ý khác là quy mô hạ tầng mà nhóm này theo dõi.

Các nhà điều tra phát hiện nhóm vận hành cơ sở dữ liệu chứa khoảng 14.700 thiết bị FortiGate đã bị khai thác trên toàn cầu, cùng với hàng trăm thông tin đăng nhập VPN đã được xác thực.

Danh sách này đóng vai trò như nguồn truy cập sẵn có cho các chiến dịch tấn công tương lai. Khi đã có quyền trên thiết bị biên của mạng, kẻ tấn công có thể:

• thu thập thông tin xác thực
• leo thang đặc quyền
• di chuyển ngang trong hệ thống

trước khi triển khai ransomware.

Nội dung các cuộc trò chuyện nội bộ tiết lộ điều gì

Dù bộ dữ liệu chỉ là một phần, các đoạn chat nội bộ vẫn cho thấy cách nhóm phối hợp hoạt động. Các kênh thảo luận đề cập đến:

• lựa chọn mục tiêu
• quản lý hạ tầng
• hoạt động của affiliate
• phối hợp trước khi công bố nạn nhân trên leak site

Những cuộc trao đổi này giúp các nhà nghiên cứu hiểu rõ dòng thời gian của một chiến dịch ransomware, từ lúc xâm nhập đến khi công bố dữ liệu bị đánh cắp.

Bài học phòng thủ cho doanh nghiệp

Vụ rò rỉ không chỉ phơi bày hoạt động của một nhóm ransomware, mà còn nhấn mạnh xu hướng lớn trong an ninh mạng hiện nay: thiết bị hạ tầng lộ ra internet đang trở thành điểm xâm nhập hàng đầu của ransomware.

Nhiều tổ chức tập trung bảo vệ máy trạm và máy chủ, nhưng lại bỏ qua firewall, VPN hoặc thiết bị quản trị mạng. Khi các hệ thống này bị chiếm quyền, kẻ tấn công có thể bỏ qua nhiều lớp phòng thủ truyền thống.

Một số biện pháp phòng thủ quan trọng gồm:

• vá lỗ hổng nhanh chóng cho thiết bị biên, đặc biệt là CVE‑2024‑55591 trên Fortinet.
• không để lộ giao diện quản trị ra internet nếu không cần thiết
• áp dụng xác thực đa yếu tố (MFA) cho truy cập quản trị
• phân đoạn mạng và giám sát log từ firewall, VPN và hệ thống quản lý

Một cửa sổ hiếm hoi vào thế giới ransomware

Các nhà nghiên cứu nhấn mạnh rằng dữ liệu bị rò rỉ không phản ánh toàn bộ cấu trúc của The Gentlemen, mà chỉ là một phần hoạt động nội bộ.

Dù vậy, nó vẫn mang lại cái nhìn rất hiếm về cách một chương trình ransomware‑as‑a‑service hiện đại vận hành — và cách các nhóm như vậy có thể mở rộng quy mô cực nhanh khi kết hợp affiliate, công cụ tự động và hạ tầng mạng bị lộ ra internet.

Trong bối cảnh ransomware ngày càng chuyên nghiệp hóa, thông điệp đối với các tổ chức là khá rõ ràng: “biên mạng” (network edge) giờ đây là một trong những tuyến phòng thủ quan trọng nhất.