กลุ่มแรนซัมแวร์หันมาใช้กลยุทธ์ "แอบอ้างตัวตน"
กลุ่มแรนซัมแวร์หันมาใช้กลยุทธ์ "แอบอ้างตัวตน" เพื่อปล่อยแรนซัมแวร์เข้าระบบมากกว่าแต่ก่อน
มัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomware นั้นเรียกได้ว่าเป็นภัยร้ายแรงสำหรับธุรกิจต่าง ๆ เนื่องจากจะสามารถนำมาสู่การสูญเสียข้อมูล และเงินได้นับล้าน ๆ ถึงขั้นบริษัทสามารถปิดตัวได้เลยทีเดียว แต่จากข่าวนี้ผู้อ่านที่เป็นผู้ประกอบการ อาจจะมีความสนใจที่จะเรียนรู้ว่าเหล่าอาชญากรเหล่านี้ได้ใช้กลยุทธ์แบบใดจนมัลแวร์สามารถเข้าถึงระบบได้
จากรายงานโดยเว็บไซต์ Cyber Security Dive ได้กล่าวถึงรายงานล่าสุดจากทาง Cloudflare บริษัทผู้ใช้บริการการปกป้องเว็บไซต์จากการถูกโจมตีจากช่องทางออนไลน์ ได้มีการระบุถึงการเปลี่ยนแปลงไปของเทรนด์วิธีการโจมตีของแรนซัมแวร์ในการเข้าถึงระบบของเหยื่อ ที่ได้เปลี่ยนจากการใช้งานโค้ดที่มีความซับซ้อนเพื่อแฮกเข้าสู่ระบบแล้ววางแรนซัมแวร์ลงอย่างที่มักทำกันในอดีต มาใช้การปลอมตัวตนเป็นผู้ติดต่อที่มีความน่าเชื่อถือ (Impersonation) เพื่อหลอกลวงเหยื่อด้วยวิธีการ Phishing ซึ่งจะนำไปสู่การขโมยบัญชีของเหยื่อเพื่อเข้าถึงระบบขององค์กรและวางแรนซัมแวร์ลงในระบบ และอีกวิธีการหนึ่งที่ได้รับความนิยมไม่แพ้กัน นั่นคือ การใช้ประโยชน์จากรหัสผ่าน (Password) ที่เดาสุ่มได้ง่ายและมีการป้องกันทีอ่อนแอ นำไปสู่การขโมยบัญชีของเหยื่อได้เช่นกัน นอกจากนั้นก็ยังมีการใช้ผู้สมรู้ร่วมคิดที่เป็นคนใน (Internal Collaborator) เพื่อเข้าถึงระบบของบริษัทที่ถูกเล็งไว้อีกด้วย
นอกจากในประเด็นของเทรนด์การโจมตีดังกล่าวแล้ว ตัวรายงานยังได้เปิดเผยข้อมูลสำคัญหลายอย่าง เช่น มีการตรวจพบว่ากลุ่มอุตสาหกรรมในภาคการผลิต (Manufacturing) และ ด้านโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) นั้นเป็นเป้าหมายหลักของกลุ่มแรนซัมแวร์มากถึง 50% ของอุตสาหกรรมต่าง ๆ ทั้งหมด ไม่เพียงเท่านั้นงานวิจัยยังพบว่า แฮกเกอร์กลุ่มที่พัฒนาแรนซัมแวร์ ยังมีแนวโน้มที่จะนำเอาปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence) ประเภทโมเดลภาษาขนาดใหญ่ (Large Language Model หรือ LLM) เข้ามาใช้งานเพื่อทำให้แรนซัมแวร์มีความฉลาดและทำงานได้อย่างอัตโนมัติมากยิ่งขึ้น โดยการใช้งาน AI นั้น ไม่ได้มีจุดประสงค์เพื่อสร้างแรนซัมแวร์ที่ซับซ้อนเหนือชั้นแต่อย่างใด แต่เน้นไปที่การใช้งานได้อย่างเต็มประสิทธิภาพมากกว่า
ในด้านการปลอมตัวเพื่อหลอกขโมยเงินนั้น ตัวงานวิจัยพบว่าในช่วงปี ค.ศ. 2025 (พ.ศ. 2568) กลุ่มมิจฉาชีพได้ใช้วิธีการปลอมตัวโดยมีความพยายามขโมยเงินมูลค่ารวมถึง 123.5 ล้านดอลลาร์สหรัฐ (3,995,966,000 บาท) โดยปริมาณเฉลี่ยที่มิจฉาชีพกลุ่มนี้พยายามจะไถเงินจากเหยื่อนั้นจะตกอยู่ประมาณรายละ 49,000 ดอลลาร์สหรัฐ (1,585,199 บาท) ผ่านการปลอมตัวเป็นบุคคลหรือองค์กรที่น่าไว้วางใจ เข้ามาคุยกับองค์กรเหยื่อ และเรียกเงิน โดยทำทุกอย่างเหมือนกิจกรรมธุรกิจทั่วไป ซึ่งกว่าเหยื่อจะรู้ตัวก็มักจะโอนให้มิจฉาชีพไปแล้ว
ตัวรายงานยังได้ระบุถึงคุณลักษณะที่แตกต่างกันออกไปจากเป็นเอกลักษณ์ของแฮกเกอร์จากชาติหลัก ๆ แต่ละชาติดังนี้
แฮกเกอร์จากรัสเซียมักจะใช้การโจมตีแบบปริมาณมาก โดยมีเป้าหมายที่กว้าง
แฮกเกอร์จากจีนจะใช้การล่องห��น แฝงตัวอยู่ภายในระบบโครงสร้างพื้นฐานที่มีความสำคัญยิ่งยวด
แฮกเกอร์จากเกาหลีเหนือ จะเน้นการโจมตีไปยังตัวคน ด้วยการใช้วิธีการสร้างความเชื่อใจเป็นหลัก
แฮกเกอร์ในแต่ละชาติยังมีการใช้แพลตฟอร์มที่มีความน่าเชื่อถือสูง (Trusted Platforms) ในปฏิบัติการของตน ดังนี้
แฮกเกอร์จากจีน พบว่ามีการใช้งาน Google Calendar ในการเป็นตัวควบคุมมัลแวร์ (C2 หรือ Command and Control)
แฮกเกอร์จากรัสเซียมีการใช้เว็บไซต์แบบแปะข้อความ (Text Paste) ในการประยุกต์มาใช้เพื่อการสับเปลี่ยนที่อยู่ของเซิร์ฟเวอร์ C2 (C2 Rotation)
แฮกเกอร์จากอิหร่านมักโฮสต์ตัวหน้าเพจ C2 ไว้บนบริการเว็บโดเมนของ Microsoft Azure
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #freedomhack #ransomware
จากประสบการณ์ตรงที่เคยรับมือกับเหตุการณ์คล้ายกัน พบว่าการโจมตีด้วยแรนซัมแวร์ไม่ได้มาในรูปแบบเดิม ๆ อย่างที่หลายคนคาดคิด เพราะกลุ่มแฮกเกอร์มักจะเลี่ยงการใช้วิธีแฮ็กซับซ้อนที่ง่ายต่อการตรวจจับ จากนั้นเปลี่ยนไปใช้กลยุทธ์แอบอ้างตัวตนหรือ Impersonation ในการส่งอีเมลแบบ Phishing เพื่อหลอกลวงให้เหยื่อตกเป็นเหยื่อ โดยเฉพาะการขโมยบัญชีผู้ใช้ที่มีสิทธิ์เข้าระบบ นอกจากนี้การตั้งรหัสผ่านที่ง่ายหรือไม่มีระบบป้องกันที่เข้มงวดก็เป็นช่องโหว่สำคัญที่ถูกโจมตีโดยแฮกเกอร์เช่นกัน ยังเคยพบด้วยว่าแฮกเกอร์บางกลุ่มใช้ประโยชน์จากผู้ที่เป็นคนในองค์กร (Internal Collaborator) ซึ่งสร้างปัญหาในระดับที่ควบคุมได้ยาก เพราะคนในเหล่านี้มักมีข้อมูลและสิทธิ์มากพอที่จะปลดล็อกระบบให้แรนซัมแวร์ทำงานได้อย่างเต็มศักยภาพ จากที่ได้ติดตามข่าวสารและงานวิจัยล่าสุด ยังพบว่ากลุ่มอุตสาหกรรมที่เป็นเป้าหมายหลักยังอยู่ในภาคการผลิตและโครงสร้างพื้นฐาน ซึ่งถือเป็นหัวใจสำคัญของเศรษฐกิจประเทศที่มีความเสี่ยงสูงสุด นอกจากนี้ เทรนด์การใช้ AI และโมเดลภาษาขนาดใหญ่ (Large Language Model) โดยแฮกเกอร์เพื่อเพิ่มความฉลาดให้กับมัลแวร์ ถือเป็นสัญญาณเตือนที่ธุรกิจควรเฝ้าระวังและปรับตัวให้ทันสมัย ช่วงปี 2025 ยังมีการคาดการณ์ว่ากลุ่มมิจฉาชีพจะพยายามขโมยเงินด้วยวิธีการปลอมตัวจนเกิดความเสียหายทางการเงินสูงถึงหลักพันล้านบาท ซึ่งเป็นเหตุผลสำคัญที่องค์กรควรเสริมความรู้และเตรียมระบบรักษาความปลอดภัยอย่างจริงจังเพื่อป้องกันความเสียหายที่จะเกิดขึ้นในอนาคต สุดท้ายนี้ การเข้าใจพฤติกรรมของแฮกเกอร์แต่ละชาติ เช่น กลุ่มรัสเซียที่โจมตีระบบจำนวนมาก หรือกลุ่มจีนที่เน้นการแฝงตัวในระบบสำคัญ จะช่วยให้เราวางกลยุทธ์ตอบโต้และป้องกันภัยได้อย่างเหมาะสม พร้อมทั้งต้องระวังการใช้แพลตฟอร์มที่แฮกเกอร์นำมาประยุกต์ใช้งาน เช่น Google Calendar และบริการจาก Microsoft Azure เพื่อไม่ให้ถูกใช้เป็นช่องทางควบคุมมัลแวร์ในองค์กรของเราเอง การศึกษาเพิ่มเติมและเตรียมความพร้อมในเชิงรับถือเป็นหัวใจสำคัญที่ช่วยลดความเสี่ยงจากแรนซัมแวร์ในยุคที่กลุ่มอาชญากรไซเบอร์มีความชาญฉลาดและกลวิธีที่เหนือชั้นขึ้นเรื่อย ๆ
