ไทย
English
บทความนี้สรุปจากรายงาน Threat Intelligence ของ CloudSEK เรื่อง “Threat Actor Profile and IOC Reference: The Gentlemen Ransomware Group” โดยนำเสนอประเด็นสำคัญเกี่ยวกับกลุ่ม The Gentlemen Ransomware ตั้งแต่กลุ่มเป้าหมาย เทคนิคที่ใช้โจมตี Indicators of Compromise หรือ IOC ไปจนถึงแนวทางตรวจจับและป้องกัน
The Gentlemen เป็นกลุ่ม Ransomware ที่เน้นโจมตีแบบเจาะจงเป้าหมาย โดยมักเลือกองค์กรที่หากระบบหยุดชะงักจะเกิดผลกระทบสูง ทั้งด้านการดำเนินงาน การเงิน และชื่อเสียง จากข้อมูลในรายงาน กลุ่มนี้เกี่ยวข้องกับการใช้ ransomware payload ที่พัฒนาขึ้นเอง เครื่องมือสำหรับหลบเลี่ยงระบบป้องกัน เครื่องมือยกระดับสิทธิ์ และเทคนิค living-off-the-land ซึ่งเป็นการใช้เครื่องมือที่มีอยู่แล้วในระบบเพื่อเคลื่อนที่ภายในเครือข่ายและหลีกเลี่ยงการตรวจจับ
กลุ่มเป้าหมายที่พบ ได้แก่ องค์กรด้านสาธารณสุข ประกันภัย การผลิต ก่อสร้าง และโครงสร้างพื้นฐานสำคัญ โดยมีการระบุพื้นที่เป้าหมายในสหรัฐอเมริกา เอเชียแปซิฟิก รวมถึงประเทศไทย และภูมิภาค EMEA กลุ่มนี้มีแรงจูงใจหลักด้านการเงิน โดยใช้การเข้ารหัสไฟล์ ขโมยข้อมูล ทำลายหรือรบกวนระบบสำรองข้อมูล และลบร่องรอยหลังโจมตีเป็นส่วนหนึ่งของกระบวนการโจมตี
Table of Contents
The Gentlemen คือใคร?
The Gentlemen ถูกประเมินว่าเป็นกลุ่มอาชญากรรมไซเบอร์ที่ปฏิบัติการด้าน Ransomware และมีความสามารถสูงกว่าค่าเฉลี่ยเมื่อเทียบกับกลุ่มทั่วไป ปัจจุบันยังไม่พบหลักฐานชัดเจนว่ากลุ่มนี้ดำเนินงานในรูปแบบ Ransomware-as-a-Service หรือ RaaS แบบเปิดให้ affiliate เข้าร่วมอย่างเป็นระบบ
จุดที่ทำให้กลุ่มนี้ตรวจจับได้ยากคือการใช้ทั้ง Malware ที่สร้างขึ้นเอง และเครื่องมือดูแลระบบที่ถูกต้องตามปกติ เช่น PsExec, PuTTY, WinSCP และ AnyDesk เครื่องมือเหล่านี้อาจมีใช้งานอยู่แล้วในองค์กร ทำให้พฤติกรรมของผู้โจมตีสามารถปะปนกับกิจกรรมของผู้ดูแลระบบได้ง่าย
อีกจุดที่สำคัญคือ กลุ่มนี้ให้ความสำคัญกับการปิดหรือหลบเลี่ยงระบบป้องกันก่อนเริ่มเข้ารหัสไฟล์ ทำให้การตรวจจับตั้งแต่ช่วงก่อนเกิดผลกระทบจริงมีความสำคัญมาก
ชื่อที่เกี่ยวข้องกับกลุ่มนี้ ได้แก่
- The Gentlemen
- Gentlemen
- TheGentlemen
- Ransom.Win64.GENTLEMAN.THHAIBE
รายงานระบุว่าการเชื่อมโยงกลุ่มนี้อ้างอิงจากงานวิจัยสาธารณะ ชื่อ detection ของไฟล์ และข้อมูล OSINT อย่างไรก็ตาม ยังไม่มี profile ใน Malpedia หรือการจัดกลุ่มจาก vendor รายใหญ่ที่ชัดเจนมากนัก
มุมมองเชิงกลยุทธ์ผ่าน Diamond Model
ในรายงานมีการใช้ Diamond Model เพื่ออธิบายภาพรวมการปฏิบัติการของ The Gentlemen โดยเชื่อมโยง 4 องค์ประกอบหลัก ได้แก่ ผู้โจมตี เหยื่อ ความสามารถ และโครงสร้างพื้นฐาน
อธิบายแบบเข้าใจง่ายได้ดังนี้
ผู้โจมตี คือกลุ่ม ransomware ที่มีแรงจูงใจด้านการเงิน ยังไม่ทราบแหล่งที่มาชัดเจน แต่มีการประเมินว่าอาจเกี่ยวข้องกับระบบนิเวศอาชญากรรมไซเบอร์ในยุโรปตะวันออกหรือกลุ่มที่ใช้ภาษารัสเซีย
เหยื่อ คือองค์กรในอุตสาหกรรมที่หากระบบหยุดทำงานจะเกิดความเสียหายสูง และมีแรงกดดันให้รีบกู้คืนระบบ
ความสามารถของกลุ่ม ครอบคลุมตั้งแต่ phishing การใช้ไฟล์บีบอัดเป็นตัวนำ Malware การขโมย credential การเคลื่อนที่ภายในเครือข่าย การยกระดับสิทธิ์ การปิดระบบรักษาความปลอดภัย การเข้ารหัสไฟล์ การขโมยข้อมูล และการลบร่องรอย
โครงสร้างพื้นฐาน ของกลุ่มนี้มีความชัดเจนน้อยกว่าหลายกลุ่ม Ransomware อื่น ๆ รายงานระบุว่า ในเดือนพฤษภาคม 2026 ยังไม่พบ C2 domain หรือ IP ที่ยังใช้งานอยู่ มีเพียง IP เก่าที่ถูกรายงานโดย community คือ 176.120.22.127 ซึ่งมีความเชื่อมั่นต่ำและเหมาะสำหรับใช้ประกอบการตรวจย้อนหลังมากกว่าการ block แบบ active
ประเด็นนี้ทำให้เห็นได้ว่า The Gentlemen อาจใช้โครงสร้างพื้นฐานแบบชั่วคราว เช่น VPS, open directory, tool staging หรือการนำ infrastructure มาใช้เฉพาะช่วงโจมตี เพื่อลดโอกาสถูกตรวจจับ
กลุ่มเป้าหมายและรูปแบบเหยื่อ
The Gentlemen มักเลือกโจมตีองค์กรที่มีโอกาสได้รับผลกระทบสูงหากระบบหยุดทำงาน โดยกลุ่มเป้าหมายหลักประกอบด้วย
- สาธารณสุข
- ประกันภัย
- การผลิต
- ก่อสร้าง
- โครงสร้างพื้นฐานสำคัญ
พื้นที่ที่พบการเคลื่อนไหว ได้แก่ สหรัฐอเมริกา เอเชียแปซิฟิก โดยเฉพาะประเทศไทย และภูมิภาค EMEA รายงานยังระบุว่ามีการพบเป้าหมายในประเทศกลุ่ม EMEA/APAC มากถึง 17 ประเทศ
รูปแบบนี้สอดคล้องกับพฤติกรรมของกลุ่ม Ransomware ที่ต้องการสร้างแรงกดดันสูงสุดต่อเหยื่อ เช่น โรงพยาบาลหรือองค์กรโครงสร้างพื้นฐานที่ไม่สามารถปล่อยให้ระบบล่มนานได้ องค์กรด้านการผลิตและก่อสร้างก็อาจเสียรายได้โดยตรงจาก downtime ส่วนธุรกิจประกันภัยมักมีข้อมูลลูกค้าและข้อมูลการเงินที่มีความอ่อนไหวสูง
รูปแบบและวิธีการโจมตี (TTPs)
วงจรการโจมตีของ The Gentlemen
การโจมตีของ The Gentlemen สามารถแบ่งออกเป็น 3 ช่วงหลัก ได้แก่ การเข้าถึงระบบครั้งแรก การขยายตัวภายในเครือข่าย และการสร้างผลกระทบขั้นสุดท้าย
1. Initial Access: การเข้าสู่ระบบครั้งแรก
กลุ่มนี้มีการใช้ email ที่ฝัง Malware หรือออกแบบมาเพื่อหลอกลวงเหยื่อ การโจมตีผ่าน supply chain การใช้ไฟล์ archive เช่น ZIP หรือ 7z เป็นตัวนำ payload รวมถึงการขโมย credential
เป้าหมายของช่วงนี้คือการสร้าง foothold หรือจุดยืนแรกภายในระบบของเหยื่อ เพื่อให้สามารถขยายการเข้าถึงต่อไปได้
2. Lateral Movement และ Defense Evasion
เมื่อเข้ามาในระบบได้แล้ว The Gentlemen จะเคลื่อนที่ภายในเครือข่ายอย่างรวดเร็ว โดยใช้เครื่องมืออย่าง PsExec และ PuTTY สำหรับ lateral movement ใช้ PowerRun เพื่อยกระดับสิทธิ์ และใช้ KillAV, All.exe หรือ Allpatch2.exe เพื่อปิดหรือรบกวนระบบรักษาความปลอดภัย
ช่วงนี้ถือว่าอันตรายมาก เพราะผู้โจมตีไม่ได้ใช้เฉพาะ Malware ที่เห็นได้ชัด แต่ยังใช้เครื่องมือที่องค์กรอาจใช้งานอยู่ตามปกติ ดังนั้นทีม Security ไม่ควรมองหาแค่ไฟล์ Malware แต่ควรมองหาพฤติกรรมผิดปกติจากเครื่องมือที่ดูเหมือนถูกต้องด้วย
3. Impact และ Exfiltration
ในช่วงสุดท้าย กลุ่มนี้จะเข้ารหัสระบบ ทำลายหรือรบกวน backup ขโมยข้อมูลบางส่วน และลบร่องรอยการโจมตี รายงานยังกล่าวถึงการใช้ WinSCP เพื่อเคลื่อนย้ายข้อมูล และความเป็นไปได้ในการกระจาย ransomware ผ่าน domain Group Policy Objects หรือ GPO
นอกจากนี้ยังมีพฤติกรรม cleanup และการซ่อนร่องรอยใน registry ก่อนทิ้ง ransom note ซึ่งบ่งชี้ว่ากลุ่มนี้อาจใช้เวลาฝังตัวไม่นาน แต่เมื่อได้สิทธิ์เพียงพอแล้วจะเคลื่อนไหวอย่างรวดเร็วและรุนแรง
เทคนิค MITRE ATT&CK ที่เกี่ยวข้อง
รายงานเชื่อมโยงพฤติกรรมของ The Gentlemen กับ MITRE ATT&CK หลายรายการ เช่น
| Technique ID | เทคนิค | ความหมายโดยย่อ |
|---|---|---|
| T1055 | Process Injection / Spawning | ใช้รันหรือซ่อนกิจกรรมอันตรายใน process |
| T1036 | Masquerading | ปลอมชื่อหรือรูปแบบไฟล์ให้ดูเหมือนถูกต้อง |
| T1057 | Process Discovery | ตรวจสอบ process และ service ที่กำลังทำงาน |
| T1070.004 | File Deletion | ลบไฟล์เพื่อลบร่องรอย |
| T1083 | File and Directory Discovery | ค้นหาไฟล์ โฟลเดอร์ และข้อมูลสำคัญ |
| T1518.001 | Security Software Discovery | ตรวจสอบว่ามี AV หรือ EDR ใดติดตั้งอยู่ |
| T1497 | Virtualization / Sandbox Evasion | หลบเลี่ยง sandbox หรือ environment สำหรับวิเคราะห์มัลแวร์ |
| T1071 | Application Layer Protocol | อาจใช้ DNS เป็นช่องทาง fallback |
| T1082 | System Information Discovery | เก็บข้อมูลระบบของเครื่องที่ถูก compromise |
จากเทคนิคเหล่านี้จะเห็นว่า The Gentlemen ไม่ได้โจมตีด้วยการรัน Ransomware เพียงอย่างเดียว แต่มีขั้นตอนครบตั้งแต่สำรวจระบบ ยกระดับสิทธิ์ หลบเลี่ยงการป้องกัน เคลื่อนที่ภายในเครือข่าย ไปจนถึงลบร่องรอยหลังโจมตี
Indicators of Compromise หรือ IOC
รายงานให้ IOC หลายรายการ โดยเฉพาะ hash แบบ SHA256 และ SHA1 ที่เกี่ยวข้องกับ ransomware samples และเครื่องมือสนับสนุนการโจมตี องค์กรควรนำข้อมูลเหล่านี้ไปใช้กับ EDR, SIEM, email gateway และระบบตรวจจับ Malware ตามความเหมาะสม
ตัวอย่าง SHA256 ที่มีความสำคัญสูง ได้แก่
1848fa2af5371d00bc4f0346ae1f5afd843677ca87de377a3f7b2433c0b7b187e0ba5641d4ebc6292c44b817c7cc0f74aa8fcf416006bbe27b194d2cc773bef5f4ae346deaf87fffdbba0086a29c00819df99cfb380bd08f1da60e45e76b1b63eb3bc08e16d1e7c048aef7ffe3298186f452ce57c6301463d9cdab55af2b4f83
รายงานยังระบุ infrastructure indicator เก่า 1 รายการ คือ
176.120.22.127อย่างไรก็ตาม IP นี้ถูกจัดว่าเป็นข้อมูลความเชื่อมั่นต่ำ และมาจาก community attribution จึงเหมาะสำหรับการตรวจสอบย้อนหลังมากกว่าการใช้เป็นตัวชี้วัดหลักในการ block ปัจจุบัน รายงานยังระบุว่าไม่พบ C2 domain หรือ malicious domain ที่ยัง active อยู่ในขณะนั้น
พฤติกรรมที่ควรเฝ้าระวัง (Behavioral Indicators)
เนื่องจาก The Gentlemen อาจไม่ได้พึ่งพา C2 infrastructure ที่คงที่ การตรวจจับจากพฤติกรรมจึงมีความสำคัญมาก
พฤติกรรมที่ควรเฝ้าระวัง ได้แก่
- มีการสร้างและลบไฟล์จำนวนมากอย่างรวดเร็วใน APPDATA หรือ TEMP
- พบการใช้ PowerRun.exe ตามด้วยการ spawn process หลายรายการ
- พบการรัน KillAV.exe, All.exe หรือ Allpatch2.exe
- มีคำสั่งหยุด service หรือปิดระบบรักษาความปลอดภัย
- พบ AnyDesk persistence ใน registry ที่ผิดปกติ
- มีการใช้ PsExec, PuTTY หรือ WinSCP นอกเหนือจาก pattern การใช้งานปกติ
- มี DNS activity จำนวนมาก แต่ไม่พบ C2 ภายนอกที่ชัดเจน
- อาจพบการเชื่อมต่อ DNS ไปยัง 162.159.36.2:53
รายงานยังระบุ mutex ที่เกี่ยวข้อง เช่น
\BaseNamedObjects\Local\SM0:1680:304:WilStaging_02
\BaseNamedObjects\Local\SM0:1680:120:WilError_03
ข้อมูลเหล่านี้สามารถช่วยทีม Incident Response ตรวจสอบ activity ที่เกี่ยวข้องในระดับ host ได้
แนวทางการตรวจจับ
ทีม Security ควรใช้ทั้งการตรวจจับจาก hash และการวิเคราะห์พฤติกรรมร่วมกัน แม้ hash จะมีประโยชน์ แต่ผู้โจมตีสามารถเปลี่ยนชื่อไฟล์ แก้ไข หรือ recompile เครื่องมือใหม่ได้ ทำให้การตรวจจับจากพฤติกรรมมีความยืดหยุ่นและทนทานกว่า
1. ตรวจจับการใช้ PowerRun ผิดปกติ
ควร monitor PowerRun.exe โดยเฉพาะกรณีที่มีการสร้าง child process หลายรายการ หรือรันภายใต้ user context ที่ไม่ปกติ เพราะอาจเป็นสัญญาณของ privilege escalation
2. ตรวจจับการปิดระบบรักษาความปลอดภัย
ควรตั้ง alert เมื่อพบ KillAV.exe, All.exe หรือ Allpatch2.exe พยายามหยุด service ปิดการป้องกัน หรือแก้ไข security configuration
3. ตรวจจับ file burst ใน AppData และ Temp
การสร้างหรือลบไฟล์จำนวนมากใน temporary directory อาจเกี่ยวข้องกับการ staging, unpacking, เตรียมเข้ารหัสไฟล์ หรือ cleanup หลังโจมตี
4. ตรวจจับการใช้ Remote Admin Tools ที่ผิดปกติ
PsExec, PuTTY, AnyDesk และ WinSCP ไม่ใช่เครื่องมืออันตรายโดยตัวมันเอง แต่หากถูกใช้ผิดเวลา ผิดเครื่อง หรือผิด pattern อาจบ่งชี้ถึงการโจมตี
5. ตรวจจับ Registry Persistence
ควรตรวจสอบ AnyDesk หรือ remote access tools อื่น ๆ ที่ปรากฏใน Run keys หรือ registry path ที่เกี่ยวข้องกับ persistence โดยเฉพาะหากไม่ได้มาจากกระบวนการติดตั้งที่ได้รับอนุญาต
แนวทางป้องกันที่ควรให้ความสำคัญ
องค์กรที่กังวลเกี่ยวกับภัยคุกคามจาก The Gentlemen ควรเน้นมาตรการที่ช่วยลดผลกระทบจาก ransomware ได้จริง
อันดับแรก ควรนำ hash ที่ระบุในรายงานไปใช้สำหรับ block และ alert ใน EDR, antivirus, SIEM และ email security gateway
อันดับที่สอง ควรตรวจสอบและปรับปรุง credential hygiene เพราะกลุ่มนี้พึ่งพาการยกระดับสิทธิ์และ lateral movement อย่างมาก โดยเฉพาะบัญชี domain administrator, service account และ credential สำหรับ remote access
อันดับที่สาม ควรเสริมความแข็งแรงให้ระบบ backup ไม่ให้ถูกหยุด service ลบข้อมูล หรือเปลี่ยนสิทธิ์ได้ง่ายจาก account ที่ไม่ควรมีสิทธิ์
อันดับที่สี่ ควร monitor เครื่องมือดูแลระบบที่ถูกต้องตามปกติ เช่น PsExec และ WinSCP เพราะแม้เครื่องมือเหล่านี้จะไม่ใช่ Malware แต่การใช้งานผิดปกติอาจเป็นสัญญาณของ attacker
อันดับที่ห้า ควรทำ network segmentation เพื่อลดโอกาสที่เครื่องหนึ่งเครื่องจะถูกใช้เป็นจุดเริ่มต้นในการ compromise ทั้ง domain
สุดท้าย ควรปรับ threshold และ detection logic ให้เหมาะกับสภาพแวดล้อมขององค์กร เพราะบางพฤติกรรมอาจเกิดจากงานของ IT admin จริง หากตั้งค่า detection กว้างเกินไปอาจเกิด false positive จำนวนมาก
สรุปประเด็นสำคัญ
The Gentlemen เป็นกลุ่ม Ransomware ที่มีแรงจูงใจด้านการเงิน และให้ความสำคัญกับการหลบเลี่ยงระบบป้องกัน การยกระดับสิทธิ์ และการสร้างผลกระทบอย่างรวดเร็ว
การที่ยังไม่พบ C2 infrastructure ที่ active ชัดเจน ทำให้การป้องกันด้วยการ block domain หรือ IP เพียงอย่างเดียวอาจไม่เพียงพอ องค์กรควรให้ความสำคัญกับ endpoint telemetry, process behavior, credential monitoring, registry analysis และการป้องกันระบบ backup
บทเรียนสำคัญสำหรับทีม Security คือ ไม่ควรพึ่งพา static indicators เพียงอย่างเดียว เพราะ The Gentlemen ใช้เครื่องมือ legitimate หลายรายการในการโจมตี ดังนั้นการตรวจจับจากพฤติกรรมจึงเป็นหัวใจสำคัญในการรับมือกับภัยคุกคามกลุ่มนี้
ติดต่อ BMSP เพื่อปรึกษาแนวทางด้าน Threat Detection, Incident Response และ Security Monitoring สำหรับองค์กรของคุณ
References
- CloudSEK. Threat Actor Profile and IOC Reference: The Gentlemen Ransomware Group. 2026.
- ThreatFox. Ransomware – The Gentlemen.
- MalwareBazaar. Gentlemen ransomware samples.
- CybersecurityIntelligence.com. Russian server exposes TheGentlemen ransomware toolkit.
- VirusTotal. Community and vendor verdicts for related hash submissions.
- JoeSandbox, Trend Micro, and Check Point family and TTP research, April 2026.
