🕵️‍♂️ เมื่อผู้พิทักษ์กลายเป็นผู้ร้าย – อดีตเจ้าหน้าที่ไซเบอร์ถูกตั้งข้อหาแฮกข้อมูลเพื่อเรียกค่าไถ่ อดีตพนักงานด้านความปลอดภัยไซเบอร์ถูกกล่าวหาว่าใช้ความรู้และตำแหน่งในบริษัทเพื่อก่ออาชญากรรมไซเบอร์ โดยร่วมมือกันโจมตีระบบของบริษัทต่าง ๆ เพื่อเรียกค่าไถ่เป็นเงินคริปโตมูลค่าหลายล้านดอลลาร์ 👥 จำนวนผู้เกี่ยวข้อง: 3 คน 1. Ryan Clifford Goldberg 🏢 ตำแหน่งเดิม: อดีตผู้อำนวยการฝ่ายตอบสนองเหตุการณ์ (Director of Incident Response) ที่บริษัท Sygnia Consulting Ltd. 🎭 บทบาทในคดี: 🎗️ เป็นหนึ่งในผู้วางแผนและดำเนินการแฮกระบบของบริษัทต่าง ๆ 🎗️ มีส่วนร่วมในการใช้มัลแวร์ ALPHV/BlackCat เพื่อเข้ารหัสข้อมูลของเหยื่อ 🎗️ ได้รับเงินค่าไถ่ร่วมกับผู้ร่วมขบวนการจากบริษัทอุปกรณ์การแพทย์ในฟลอริดา มูลค่าเกือบ 1.3 ล้านดอลลาร์ 🎗️ ถูกควบคุมตัวในเรือนจำกลาง 2. Kevin Tyler Martin 🏢 ตำแหน่งเดิม: นักเจรจาค่าไถ่ (Ransomware Negotiator) ของบริษัท DigitalMint 🎭 บทบาทในคดี: 🎗️ ร่วมมือกับ Goldberg ในการแฮกและเรียกค่าไถ่จากเหยื่อ 🎗️ ใช้ความรู้จากงานเจรจาค่าไถ่เพื่อวางแผนโจมตี 🎗️ ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา 3. บุคคลที่สาม (ยังไม่เปิดเผยชื่อ) 🏢 สถานะ: ยังไม่ถูกตั้งข้อหา และไม่มีการเปิดเผยชื่อในเอกสารของศาล 🎭 บทบาทในคดี: 🎗️ มีส่วนร่วมในการแฮกและรับเงินค่าไถ่ร่วมกับ Goldberg และ Martin 🎗️ เป็นหนึ่งในผู้ที่ได้รับผลประโยชน์จากการโจมตีบริษัทในฟลอริดา 🧨 ความซับซ้อนของอุตสาหกรรมเจรจาค่าไถ่ ทั้งสามคนทำงานในอุตสาหกรรมที่มีหน้าที่ช่วยบริษัทเจรจากับแฮกเกอร์เพื่อปลดล็อกระบบ ซึ่งบางครั้งก็ต้องจ่ายค่าไถ่เพื่อให้ระบบกลับมาใช้งานได้ แต่ในกรณีนี้ พวกเขากลับใช้ตำแหน่งนั้นในการก่ออาชญากรรมเสียเอง พวกเขายังถูกกล่าวหาว่าแบ่งผลกำไรกับผู้พัฒนามัลแวร์ที่ใช้ในการโจมตี และพยายามแฮกบริษัทอื่น ๆ เช่น บริษัทเภสัชกรรมในแมริแลนด์ ผู้ผลิตโดรนในเวอร์จิเนีย และคลินิกในแคลิฟอร์เนีย ✅ ผู้ต้องหาคืออดีตเจ้าหน้าที่ด้านความปลอดภัยไซเบอร์ ➡️ Goldberg จาก Sygnia และ Martin จาก DigitalMint ➡️ ใช้มัลแวร์ ALPHV BlackCat ในการโจมตี ➡️ ได้รับเงินค่าไถ่จากบริษัทในฟลอริดาเกือบ 1.3 ล้านดอลลาร์ ✅ บริษัทต้นสังกัดออกแถลงการณ์ปฏิเสธการมีส่วนเกี่ยวข้อง ➡️ DigitalMint ยืนยันว่าเหตุการณ์อยู่นอกขอบเขตงานของพนักงาน ➡️ Sygnia ระบุว่าไล่ออก Goldberg ทันทีเมื่อทราบเรื่อง ➡️ ไม่มีข้อมูลว่าบริษัทใดถูกแฮกในเอกสารของศาล ✅ สถานะของผู้ต้องหา ➡️ Goldberg ถูกควบคุมตัวในเรือนจำกลาง ➡️ Martin ได้รับการประกันตัวและให้การปฏิเสธข้อกล่าวหา ➡️ บุคคลที่สามยังไม่ถูกตั้งข้อหาและไม่เปิดเผยชื่อ ‼️ ความเสี่ยงจากการมีช่องโหว่ภายในองค์กร ⛔ พนักงานที่มีสิทธิ์เข้าถึงระบบสามารถใช้ข้อมูลในทางมิชอบ ⛔ การทำงานในอุตสาหกรรมเจรจาค่าไถ่อาจเปิดช่องให้เกิดการแอบแฝง ⛔ การไม่ตรวจสอบพฤติกรรมพนักงานอย่างต่อเนื่องอาจนำไปสู่การละเมิด ‼️ ผลกระทบต่อความเชื่อมั่นในอุตสาหกรรมไซเบอร์ ⛔ ลูกค้าอาจสูญเสียความไว้วางใจต่อบริษัทที่เกี่ยวข้อง ⛔ ภาพลักษณ์ของอุตสาหกรรมเจรจาค่าไถ่อาจถูกตั้งคำถาม ⛔ การใช้มัลแวร์ที่มีผู้พัฒนาอยู่เบื้องหลังอาจเชื่อมโยงไปสู่เครือข่ายอาชญากรรมขนาดใหญ่ https://www.thestar.com.my/tech/tech-news/2025/11/04/ex-cybersecurity-staffers-charged-with-moonlighting-as-hackers

⚖️ “Conti” ร้ายเงียบ: แฮกเกอร์ยูเครนถูกส่งตัวขึ้นศาลสหรัฐฯ เรื่องราวนี้เริ่มต้นจากการที่ Oleksii Oleksiyovych Lytvynenko ชาวยูเครนวัย 43 ปี ถูกจับกุมในเมืองคอร์ก ประเทศไอร์แลนด์ ตามคำร้องขอของสหรัฐฯ และล่าสุดถูกส่งตัวมายังรัฐเทนเนสซีเพื่อเผชิญข้อกล่าวหาหนักเกี่ยวกับการใช้มัลแวร์ Conti ransomware โจมตีองค์กรต่างๆ ทั่วโลก Conti ransomware เป็นหนึ่งในมัลแวร์ที่สร้างความเสียหายมากที่สุดในประวัติศาสตร์ โดยใช้เทคนิค “double extortion” คือการเข้ารหัสข้อมูลของเหยื่อและขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ซึ่ง FBI ประเมินว่ามีมูลค่าความเสียหายรวมกว่า $150 ล้าน และมีเหยื่อมากกว่า 1,000 ราย ในกว่า 47 รัฐของสหรัฐฯ และอีก 31 ประเทศทั่วโลก Lytvynenko ถูกกล่าวหาว่าเป็นผู้ร่วมวางแผนและควบคุมการโจมตีเหล่านี้ โดยมีบทบาทในการสร้างข้อความเรียกค่าไถ่และควบคุมข้อมูลที่ถูกขโมยจากเหยื่อหลายรายในระบบของ Conti 🧠 Conti คือใคร? Conti ransomware ถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ที่มีฐานในรัสเซีย และมีความเกี่ยวข้องกับการโจมตีโครงสร้างพื้นฐานสำคัญ เช่น โรงพยาบาล หน่วยงานรัฐ และบริษัทเอกชน โดยเฉพาะในช่วงปี 2021 ที่มีการโจมตีมากที่สุด ในปี 2022 มีการรั่วไหลของซอร์สโค้ดของ Conti ซึ่งเผยให้เห็นโครงสร้างการทำงานภายในของกลุ่มนี้ รวมถึงการสื่อสารภายในที่แสดงถึงความเป็นองค์กรแบบมืออาชีพมากกว่าการทำงานแบบสมัครเล่น ✅ การส่งตัวผู้ต้องหาข้ามประเทศ ➡️ Lytvynenko ถูกจับในไอร์แลนด์และส่งตัวมายังสหรัฐฯ ➡️ ข้อกล่าวหาคือสมรู้ร่วมคิดในการฉ้อโกงผ่านคอมพิวเตอร์และระบบการเงิน ✅ ความเสียหายจาก Conti ransomware ➡️ สร้างความเสียหายกว่า $150 ล้าน ➡️ มีเหยื่อมากกว่า 1,000 รายใน 47 รัฐของสหรัฐฯ และอีก 31 ประเทศ ➡️ ใช้เทคนิค double extortion คือเข้ารหัสและขู่เปิดเผยข้อมูล ✅ บทบาทของ Lytvynenko ➡️ ควบคุมข้อมูลที่ถูกขโมยจากเหยื่อ ➡️ มีส่วนในการสร้างข้อความเรียกค่าไถ่ ➡️ ถูกตั้งข้อหาสมรู้ร่วมคิดในการฉ้อโกงคอมพิวเตอร์ (โทษสูงสุด 5 ปี) และฉ้อโกงระบบการเงิน (โทษสูงสุด 20 ปี) https://securityonline.info/conti-ransomware-operator-oleksii-lytvynenko-extradited-from-ireland-to-face-federal-hacking-charges/

🕵️ Akira Ransomware อ้างขโมยข้อมูล 23GB จาก Apache OpenOffice — ยังไม่มีการยืนยันจากทาง Apache กลุ่มแฮกเกอร์ Akira Ransomware ได้ออกมาอ้างว่าได้เจาะระบบของ Apache OpenOffice และขโมยข้อมูลภายในองค์กรกว่า 23GB ซึ่งรวมถึงข้อมูลพนักงาน เช่น ที่อยู่ เบอร์โทร เลขบัตรประชาชน หมายเลขบัตรเครดิต และเอกสารการเงินภายในองค์กร Akira เป็นกลุ่ม ransomware-as-a-service (RaaS) ที่เริ่มปรากฏตัวในปี 2023 และมีชื่อเสียงจากการใช้กลยุทธ์ “double extortion” คือขโมยข้อมูลก่อน แล้วจึงเข้ารหัสระบบเพื่อเรียกค่าไถ่ โดยในกรณีนี้ พวกเขาโพสต์ข้อความบน dark web ว่าจะเผยแพร่เอกสารทั้งหมดในเร็ว ๆ นี้ อย่างไรก็ตาม ทาง Apache Software Foundation ยังไม่ออกมายืนยันว่ามีการเจาะระบบจริงหรือไม่ และไม่มีหลักฐานว่าการแจกจ่ายซอฟต์แวร์ของ OpenOffice ถูกกระทบ 🔐 Akira ยังมีพฤติกรรมที่น่าสนใจ เช่น: 💠 ใช้ ransomware ที่ตรวจสอบ layout ของคีย์บอร์ดเพื่อหลีกเลี่ยงการโจมตีในประเทศที่ใช้ภาษารัสเซีย 💠 เคยถูกพบว่ามีการแฮกกล้องเว็บแคมของเหยื่อเพื่อเพิ่มแรงกดดันในการเรียกค่าไถ่ ✅ ข้อมูลที่ถูกอ้างว่าถูกขโมย ➡️ ข้อมูลพนักงาน: ที่อยู่ เบอร์โทร วันเกิด เลขบัตรประชาชน ➡️ ข้อมูลการเงินและเอกสารภายในองค์กร ➡️ รายงานปัญหาการใช้งานซอฟต์แวร์ ✅ พฤติกรรมของ Akira Ransomware ➡️ ใช้กลยุทธ์ double extortion ➡️ มี ransomware สำหรับ Windows และ Linux/VMware ESXi ➡️ ตรวจสอบ layout คีย์บอร์ดเพื่อหลีกเลี่ยงประเทศรัสเซีย ➡️ เคยแฮกกล้องเว็บแคมของเหยื่อ ✅ สถานะปัจจุบัน ➡️ Apache ยังไม่ยืนยันว่ามีการเจาะระบบ ➡️ ไม่มีผลกระทบต่อระบบแจกจ่ายซอฟต์แวร์ของ OpenOffice ➡️ ผู้ใช้ยังสามารถดาวน์โหลด OpenOffice ได้จากเว็บไซต์ทางการ ‼️ คำเตือนสำหรับผู้ใช้งาน ⛔ อย่าดาวน์โหลด OpenOffice จากลิงก์ที่แชร์ในโซเชียลหรือฟอรั่ม ⛔ ควรติดตามประกาศจาก Apache Software Foundation อย่างใกล้ชิด ⛔ หากใช้งานในองค์กร ควรตรวจสอบระบบภายในและอัปเดตมาตรการรักษาความปลอดภัย https://hackread.com/akira-ransomware-stole-apache-openoffice-data/

🛡️💻 Gunra Ransomware โจมตีทั้ง Windows และ Linux — แต่เวอร์ชัน Linux มีจุดอ่อนร้ายแรงที่อาจช่วยให้กู้ไฟล์ได้ Gunra Ransomware ถูกเปิดโปงโดย AhnLab ว่าเป็นมัลแวร์แบบ cross-platform ที่โจมตีทั้ง Windows และ Linux โดยใช้การเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ แต่สิ่งที่น่าสนใจคือ เวอร์ชัน Linux มีจุดอ่อนในการสร้างคีย์เข้ารหัส ที่อาจเปิดช่องให้ผู้เชี่ยวชาญสามารถกู้คืนไฟล์ได้ผ่านการ brute force ✅ ข้อมูลสำคัญจากรายงานของ AhnLab ✅ Gunra มีทั้งไฟล์ .exe สำหรับ Windows และ .elf สำหรับ Linux ➡️ ทั้งสองเวอร์ชันสามารถเข้ารหัสไฟล์และขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ➡️ Linux variant รองรับ argument เช่น --threads, --path, --exts, --ratio, --limit, --store เพื่อปรับแต่งการเข้ารหัส ✅ ใช้ ChaCha20 ใน Linux และ ChaCha8 ใน Windows ➡️ Linux ใช้ ChaCha20 พร้อมสร้าง key/nonce ใหม่ทุกไฟล์ ➡️ Windows ใช้ ChaCha8 และสร้าง key ด้วย CryptGenRandom API ที่ปลอดภัย ✅ จุดอ่อนในเวอร์ชัน Linux: ใช้ time() และ rand() สร้างคีย์ ➡️ การใช้ time-based seed ทำให้ key ซ้ำได้ง่าย ➡️ นักวิจัยพบว่า brute force สามารถกู้คืนคีย์ได้ เพราะมีเพียง 256 ค่า byte ที่ต้องทดสอบต่อจุด ➡️ หากเหยื่อเก็บไฟล์เข้ารหัสและ timestamp ไว้ อาจกู้คืนได้สำเร็จ ✅ พฤติกรรมการเข้ารหัสของ Gunra ➡️ เข้ารหัส 1MB แล้วข้าม byte ตามค่า --ratio ➡️ หากใช้ --store จะเข้ารหัสคีย์ด้วย RSA และบันทึกไว้ในไฟล์ .keystore ➡️ หากไม่ใช้ --store คีย์จะถูกแนบไว้ท้ายไฟล์ ✅ ไฟล์บางประเภทถูกยกเว้นจากการเข้ารหัส ➡️ เช่น R3ADM3.txt และไฟล์ .encrt เพื่อให้เหยื่อสามารถอ่านคำสั่งเรียกค่าไถ่ได้ ‼️ คำเตือนสำหรับผู้ใช้ Linux และองค์กร ‼️ แม้จะมีช่องโหว่ แต่การกู้คืนไฟล์ต้องใช้ข้อมูลเฉพาะ ⛔ ต้องมีไฟล์เข้ารหัสและ timestamp ที่แม่นยำ ⛔ การ brute force ต้องใช้ทรัพยากรและความเชี่ยวชาญสูง ‼️ Windows variant ยังไม่สามารถกู้คืนได้ ⛔ ใช้ CryptGenRandom API ที่ปลอดภัย ทำให้ key ไม่สามารถเดาได้ ⛔ การเข้ารหัสใน Windows จึงถือว่า “แทบไม่สามารถย้อนกลับได้” ‼️ การป้องกันยังคงเป็นแนวทางหลัก ⛔ หลีกเลี่ยงการรันไฟล์จากแหล่งที่ไม่ปลอดภัย ⛔ สำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บจากระบบหลัก ⛔ ใช้ระบบตรวจจับพฤติกรรมและการเข้ารหัสที่ทันสมัย https://securityonline.info/ahnlab-uncovers-gunra-ransomware-dual-platform-threat-with-weak-linux-encryption/

🛡️ 10 ปัญหาใหญ่ที่ CISO และทีมไซเบอร์ต้องเผชิญในปี 2025 — จากภัยคุกคาม AI ถึงงบประมาณที่ไม่พอรับมือ บทความจาก CSO Online โดย Mary K. Pratt สรุป 10 ความท้าทายที่ผู้บริหารด้านความปลอดภัยข้อมูล (CISO) และทีมไซเบอร์ต้องเผชิญในยุคที่ภัยคุกคามซับซ้อนขึ้นอย่างรวดเร็ว โดยเฉพาะจาก AI, quantum computing และการโจมตีที่ไม่เลือกเป้าหมายอีกต่อไป ในปี 2025 งานของ CISO ไม่ใช่แค่ป้องกันข้อมูล แต่ต้องรับมือกับความเร็วของภัยคุกคามที่เกิดจาก AI, การขาดแคลนบุคลากร, งบประมาณที่ไม่พอ และความคาดหวังจากผู้บริหารที่ต้องการให้ “ทุกอย่างปลอดภัย” โดยไม่เพิ่มทรัพยากร ภัยคุกคามจาก AI ไม่ใช่แค่การโจมตีแบบใหม่ แต่ยังรวมถึงข้อมูลที่ AI สร้างขึ้นเอง ซึ่งอาจกลายเป็น “ภัยจากภายใน” โดยไม่ตั้งใจ เช่น ข้อมูลแชตหรือคำสั่งที่หลุดออกไปโดยไม่ผ่านการตรวจสอบ นอกจากนี้ยังมีความเสี่ยงจาก quantum computing ที่อาจทำลายระบบเข้ารหัสในอนาคต และการโจมตีที่รุนแรงขึ้นเรื่อย ๆ เช่น การเรียกค่าไถ่จากข้อมูลเด็กในโรงเรียน 📌 สรุป 10 ปัญหาใหญ่ที่ CISO ต้องเผชิญ ✅ การรักษาความปลอดภัยของโครงสร้าง AI ➡️ ทีมยังไม่มีเครื่องมือหรือความรู้เพียงพอในการป้องกัน AI ➡️ การใช้งาน AI เติบโตเร็วกว่าการวางมาตรการความปลอดภัย ✅ การโจมตีด้วย AI ที่เร็วและรุนแรงขึ้น ➡️ เวลาที่แฮกเกอร์ใช้ในการเจาะระบบลดเหลือเพียงไม่กี่วินาที ➡️ ต้องฝึกซ้อมรับมือแทบทุกวัน ไม่ใช่แค่เดือนละครั้ง ✅ การปกป้องข้อมูลในยุค AI ➡️ ข้อมูลที่ AI สร้างขึ้นเอง เช่น แชตหรือคำสั่ง ต้องได้รับการจัดการ ➡️ หลายองค์กรยังไม่รู้ว่าข้อมูลสำคัญอยู่ที่ไหน ✅ ภูมิทัศน์ภัยคุกคามที่ขยายตัว ➡️ ระบบเชื่อมโยงกันมากขึ้น ทำให้จุดอ่อนเพิ่มขึ้น ➡️ แฮกเกอร์มี supply chain ของตัวเองและใช้ AI เพิ่มประสิทธิภาพ ✅ การโจมตีที่โหดร้ายขึ้น ➡️ ไม่มีเป้าหมายที่ “ปลอดภัย” อีกต่อไป เช่น โรงเรียนเด็กเล็กก็ถูกโจมตี ➡️ แฮกเกอร์ไม่สนผลกระทบต่อเหยื่อ ✅ ข้อจำกัดด้านงบประมาณ ➡️ งบเพิ่มขึ้นแต่ไม่ทันกับความรุนแรงของภัยคุกคาม ➡️ ต้องลดต้นทุนโดยใช้ automation และ outsourcing ✅ การเตรียมพนักงานให้รับมือกับ phishing ขั้นสูง ➡️ AI สร้างอีเมลหลอกลวงที่เหมือนจริงมาก ➡️ ต้องฝึกซ้อม phishing simulation บ่อยขึ้น และมีบทลงโทษจริง ✅ ความเสี่ยงจาก quantum computing ➡️ การเข้ารหัสปัจจุบันอาจถูกทำลายในอนาคต ➡️ ต้องเริ่มวางแผนใช้ quantum-safe encryption ✅ การจัดลำดับความสำคัญ ➡️ มีงานมากเกินไปแต่คนไม่พอ ต้องเลือกทำสิ่งที่สำคัญที่สุด ➡️ ขาดแคลนบุคลากรด้านความปลอดภัยอย่างหนัก ✅ การประเมินความเสี่ยงให้ถูกต้อง ➡️ ต้องเข้าใจความเสี่ยงที่ธุรกิจยอมรับได้ ➡️ ความเข้าใจระหว่าง CISO กับผู้บริหารลดลงจาก 84% เหลือ 64% ‼️ คำเตือนสำหรับองค์กร ⛔ อย่าคิดว่า AI จะปลอดภัยโดยอัตโนมัติ ⛔ อย่ารอให้ quantum computing มาถึงก่อนจะเตรียมระบบ ⛔ อย่ามองข้ามการฝึกพนักงาน แม้จะมีเทคโนโลยีป้องกันแล้ว https://www.csoonline.com/article/4077442/the-10-biggest-issues-cisos-and-cyber-teams-face-today-2.html

💸 “จ่ายค่าไถ่แล้วก็ไม่รอด: 40% ของเหยื่อแรนซัมแวร์ยังคงสูญเสียข้อมูล” รู้หรือเปล่าว่า แม้จะยอมจ่ายค่าไถ่ให้แฮกเกอร์ไปแล้ว ก็ไม่ได้หมายความว่าเราจะได้ข้อมูลคืนเสมอไปนะ! จากรายงานล่าสุดของ Hiscox พบว่า 2 ใน 5 บริษัทที่จ่ายค่าไถ่กลับไม่ได้ข้อมูลคืนเลย หรือได้คืนแค่บางส่วนเท่านั้น ที่น่าตกใจกว่านั้นคือ แฮกเกอร์บางกลุ่มถึงขั้นใช้เครื่องมือถอดรหัสที่มีบั๊ก หรือบางทีก็หายตัวไปดื้อ ๆ หลังได้เงินแล้ว แถมบางครั้งตัวถอดรหัสยังทำให้ไฟล์เสียหายยิ่งกว่าเดิมอีกต่างหาก และที่สำคัญ—การจ่ายเงินไม่ได้ช่วยแก้ปัญหาทั้งหมด เพราะแฮกเกอร์ยุคนี้ไม่ได้แค่ล็อกไฟล์ แต่ยังขู่จะปล่อยข้อมูลหรือโจมตีซ้ำด้วย DDoS แม้จะได้เงินไปแล้วก็ตาม องค์กรที่เคยโดนโจมตีอย่างบริษัท Kantsu ในญี่ปุ่น ถึงกับต้องกู้เงินจากธนาคารเพื่อฟื้นฟูระบบ เพราะแม้จะมีประกันไซเบอร์ แต่ก็ต้องรอขั้นตอนการเคลมที่ใช้เวลานาน ผู้เชี่ยวชาญแนะนำว่า อย่ารอให้โดนก่อนค่อยหาทางแก้ ควรเตรียมแผนรับมือไว้ล่วงหน้า เช่น มีทีมตอบสนองเหตุการณ์ฉุกเฉิน มีระบบสำรองข้อมูลที่ปลอดภัย และที่สำคัญ—อย่าคิดว่าการจ่ายเงินคือทางออกที่ดีที่สุด ✅ สถิติจากรายงาน Hiscox Cyber Readiness Report ➡️ 40% ของเหยื่อที่จ่ายค่าไถ่ไม่ได้ข้อมูลคืนเลย ➡️ 27% ของธุรกิจถูกโจมตีด้วยแรนซัมแวร์ในปีที่ผ่านมา ➡️ 80% ของเหยื่อยอมจ่ายค่าไถ่เพื่อพยายามกู้ข้อมูล ✅ ปัญหาที่เกิดขึ้นแม้จะจ่ายค่าไถ่แล้ว ➡️ เครื่องมือถอดรหัสที่ได้รับอาจมีบั๊กหรือทำให้ไฟล์เสียหาย ➡️ แฮกเกอร์บางกลุ่มไม่มีความน่าเชื่อถือ อาจไม่ส่งคีย์ถอดรหัส ➡️ การถอดรหัสในระบบขนาดใหญ่ใช้เวลานานและอาจล้มเหลว ✅ ภัยคุกคามที่มากกว่าแค่การเข้ารหัสข้อมูล ➡️ แฮกเกอร์ใช้วิธี “ขู่เปิดเผยข้อมูล” หรือ DDoS แม้จะได้เงินแล้ว ➡️ การจ่ายเงินไม่ช่วยแก้ปัญหาการละเมิดข้อมูลส่วนบุคคล ✅ กรณีศึกษา: บริษัท Kantsu ในญี่ปุ่น ➡️ ไม่จ่ายค่าไถ่ แต่ต้องกู้เงินเพื่อฟื้นฟูระบบ ➡️ แม้มีประกันไซเบอร์ แต่ต้องรอขั้นตอนการเคลม ✅ คำแนะนำจากผู้เชี่ยวชาญ ➡️ ควรมีแผนรับมือเหตุการณ์ล่วงหน้า เช่น การสำรองข้อมูลที่ปลอดภัย ➡️ ควรมีทีมตอบสนองเหตุการณ์ฉุกเฉินไว้ล่วงหน้า ➡️ การมีประกันไซเบอร์ช่วยลดผลกระทบและให้การสนับสนุนด้านกฎหมาย ‼️ คำเตือนเกี่ยวกับการจ่ายค่าไถ่ ⛔ ไม่มีหลักประกันว่าจะได้ข้อมูลคืน ⛔ อาจละเมิดกฎหมายหากจ่ายเงินให้กลุ่มที่ถูกคว่ำบาตร ⛔ การจ่ายเงินอาจกระตุ้นให้เกิดอาชญากรรมไซเบอร์เพิ่มขึ้น ⛔ อาจทำให้ข้อมูลเสียหายมากขึ้นจากการถอดรหัสที่ผิดพลาด https://www.csoonline.com/article/4077484/ransomware-recovery-perils-40-of-paying-victims-still-lose-their-data.html

🧨 Medusa Ransomware โจมตี Comcast: ข้อมูล 834 GB ถูกเปิดเผยหลังไม่จ่ายค่าไถ่ $1.2 ล้าน กลุ่มแฮกเกอร์ Medusa Ransomware ได้เปิดเผยข้อมูลขนาดมหึมา 834 GB ที่อ้างว่าเป็นของ Comcast บริษัทสื่อและเทคโนโลยียักษ์ใหญ่ของสหรัฐฯ หลังจากที่บริษัทไม่ยอมจ่ายค่าไถ่จำนวน $1.2 ล้านตามที่กลุ่มเรียกร้อง โดยข้อมูลที่ถูกปล่อยออกมานั้นเป็นไฟล์บีบอัดขนาด 186 GB ซึ่งเมื่อแตกไฟล์แล้วจะมีขนาดรวมถึง 834 GB ตามคำกล่าวอ้างของกลุ่มแฮกเกอร์. ข้อมูลที่รั่วไหลประกอบด้วยไฟล์ Excel และสคริปต์ Python/SQL ที่เกี่ยวข้องกับการวิเคราะห์เบี้ยประกันภัยอัตโนมัติ เช่น “Esur_rerating_verification.xlsx” และ “Claim Data Specifications.xlsm” ซึ่งบ่งชี้ว่ามีข้อมูลลูกค้าและการดำเนินงานภายในที่ละเอียดอ่อนถูกเปิดเผย Comcast ยังไม่ได้ออกมายืนยันหรือปฏิเสธเหตุการณ์นี้อย่างเป็นทางการ แม้ Hackread จะพยายามติดต่อเพื่อขอคำชี้แจงก็ตาม 🔍 สรุปประเด็นสำคัญจากเหตุการณ์ 1️⃣ ข้อมูลที่ถูกเปิดเผย ✅ ข้อมูลที่ Medusa อ้างว่าได้จาก Comcast ➡️ ขนาดรวม 834 GB (บีบอัดเหลือ 186 GB) ➡️ ประกอบด้วยไฟล์ Excel และสคริปต์ Python/SQL ➡️ เกี่ยวข้องกับการวิเคราะห์เบี้ยประกันภัยและข้อมูลลูกค้า ‼️ คำเตือน ⛔ ข้อมูลที่รั่วไหลอาจมีผลกระทบต่อความเป็นส่วนตัวของลูกค้าจำนวนมาก ⛔ อาจนำไปสู่การโจมตีแบบ phishing หรือการขโมยข้อมูลทางการเงิน 2️⃣ พฤติกรรมของกลุ่ม Medusa Ransomware ✅ ประวัติการโจมตีที่ผ่านมา ➡️ เคยโจมตี NASCAR ด้วยค่าไถ่ $4 ล้านในเดือนเมษายน 2025 ➡️ ใช้ช่องโหว่ GoAnywhere MFT (CVE-2025-10035) เพื่อเจาะระบบ ➡️ มีประวัติการปล่อยข้อมูลเมื่อไม่ได้รับการตอบสนองจากเหยื่อ ‼️ คำเตือน ⛔ กลุ่มนี้มีแนวโน้มปล่อยข้อมูลทันทีเมื่อการเจรจาล้มเหลว ⛔ องค์กรที่ใช้ GoAnywhere MFT ควรตรวจสอบระบบอย่างเร่งด่วน 3️⃣ ความเคลื่อนไหวของ Comcast ✅ เหตุการณ์ก่อนหน้านี้ ➡️ ในปี 2023 แบรนด์ Xfinity ของ Comcast เคยถูกโจมตีผ่านช่องโหว่ของ Citrix ➡️ ส่งผลกระทบต่อบัญชีผู้ใช้กว่า 35.9 ล้านราย ‼️ คำเตือน ⛔ การโจมตีซ้ำแสดงถึงความเสี่ยงด้านความปลอดภัยที่ยังไม่ได้รับการแก้ไข ⛔ การไม่ตอบสนองต่อสื่อหรือผู้เชี่ยวชาญอาจลดความเชื่อมั่นของลูกค้า https://hackread.com/medusa-ransomware-comcast-data-leak/

🧨 Warlock Ransomware: จู่โจมองค์กรสหรัฐฯ ผ่านช่องโหว่ SharePoint โดยกลุ่มแฮกเกอร์จีน CamoFei ภัยคุกคามไซเบอร์ครั้งใหม่กำลังเขย่าโลกธุรกิจสหรัฐฯ เมื่อ Warlock ransomware ปรากฏตัวในเดือนมิถุนายน 2025 และถูกใช้ในการโจมตีองค์กรต่างๆ โดยอาศัยช่องโหว่ ToolShell zero-day ใน Microsoft SharePoint (CVE-2025-53770) ซึ่งสามารถเจาะระบบได้โดยไม่ต้องยืนยันตัวตน สิ่งที่ทำให้ Warlock แตกต่างจาก ransomware ทั่วไปคือความเชื่อมโยงกับกลุ่มแฮกเกอร์จีนสายข่าวกรอง เช่น CamoFei (หรือ ChamelGang) และ Storm-2603 ซึ่งเคยใช้เครื่องมือจารกรรมอย่าง Cobalt Strike และเทคนิค DLL sideloading ในการแทรกซึมระบบมาก่อน Warlock ถูกพบว่ามีลักษณะคล้ายกับ Anylock ransomware โดยใช้ extension .x2anylock และมีโครงสร้าง payload ที่ใกล้เคียงกัน บ่งชี้ว่าอาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก LockBit 3.0 หนึ่งในเทคนิคที่น่ากังวลที่สุดคือการใช้ BYOVD (Bring Your Own Vulnerable Driver) โดยแฮกเกอร์นำ driver จาก Baidu Antivirus ปี 2016 ที่มีช่องโหว่มาใช้ร่วมกับ certificate ปลอมจากนักพัฒนาชื่อ “coolschool” เพื่อปิดการทำงานของโปรแกรมป้องกันไวรัสในระบบเป้าหมาย การโจมตีครั้งนี้ไม่ใช่แค่การเรียกค่าไถ่ แต่ยังสะท้อนถึงการบูรณาการระหว่างกลุ่มแฮกเกอร์สายข่าวกรองกับกลุ่มอาชญากรรมไซเบอร์ ซึ่งอาจเป็นยุทธศาสตร์ใหม่ของการโจมตีระดับประเทศ ✅ ลักษณะของ Warlock ransomware ➡️ ปรากฏตัวครั้งแรกในเดือนมิถุนายน 2025 ➡️ ใช้ช่องโหว่ CVE-2025-53770 ใน SharePoint ➡️ เชื่อมโยงกับกลุ่มแฮกเกอร์จีน เช่น CamoFei และ Storm-2603 ✅ เทคนิคการโจมตี ➡️ ใช้ BYOVD ด้วย driver จาก Baidu Antivirus ปี 2016 ➡️ ใช้ certificate ปลอมจากนักพัฒนาชื่อ “coolschool” ➡️ ใช้ DLL sideloading และ toolkit “Project AK47” ✅ ความสัมพันธ์กับ ransomware อื่น ➡️ มีลักษณะคล้าย Anylock และ LockBit 3.0 ➡️ ใช้ extension .x2anylock ในการเข้ารหัสไฟล์ ➡️ อาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก ransomware เดิม ✅ กลุ่มเป้าหมาย ➡️ องค์กรในสหรัฐฯ และหน่วยงานรัฐบาล ➡️ ใช้ช่องโหว่ zero-day เพื่อเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน ➡️ มีการโจมตีแบบผสมระหว่างจารกรรมและเรียกค่าไถ่ https://securityonline.info/warlock-ransomware-hits-us-firms-exploiting-sharepoint-zero-day-linked-to-chinas-camofei-apt/

🕶️ “Scattered LAPSUS$ Hunters เปลี่ยนกลยุทธ์ – เปิดบริการ EaaS และล่าคนวงใน หลังแฮก Salesforce!” นักวิจัยจาก Unit 42 ของ Palo Alto Networks พบว่ากลุ่มแฮกเกอร์ชื่อ Scattered LAPSUS$ Hunters ซึ่งเชื่อมโยงกับ Bling Libra syndicate กำลังเปลี่ยนกลยุทธ์จากการใช้ ransomware มาเป็น Extortion-as-a-Service (EaaS) คือเน้นขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัสไฟล์ หลังจากแฮก Salesforce และขโมยข้อมูลกว่า 1 พันล้านรายการ พวกเขาเริ่มรุกหนัก โดยเปิด Telegram channel ชื่อ “SLSH 6.0 part 3” เพื่อโชว์ข้อมูลที่ขโมยมา และประกาศว่า “จะไม่ปล่อยข้อมูลเพิ่ม เพราะสิ่งที่มีอยู่มันร้ายแรงเกินกว่าจะเปิดเผย” กลุ่มนี้ยังเปิดรับสมัคร “คนวงใน” จากบริษัทต่าง ๆ เช่น call center, gaming, SaaS, telecom และ hosting provider ในหลายประเทศ เพื่อให้พนักงานขาย credentials หรือเข้าถึงระบบภายในได้ง่ายขึ้น ที่น่าสนใจคือพวกเขา tease ว่ากำลังพัฒนา ransomware ตัวใหม่ชื่อ SHINYSP1D3R ซึ่งอาจเป็นแค่เครื่องมือสร้างภาพลักษณ์เพื่อดึง affiliate เข้าร่วม EaaS มากกว่าจะใช้จริง เพราะจนถึงตอนนี้ยังไม่มีการเข้ารหัสไฟล์จากกลุ่มนี้เลย Unit 42 ยังพบว่าเว็บไซต์ data leak ของกลุ่มถูก deface และไม่สามารถยืนยันได้ว่าข้อมูลยังอยู่หรือไม่ ซึ่งอาจเป็นผลจากแรงกดดันจากหน่วยงานรัฐหรือความเสี่ยงทางกฎหมาย ✅ กลยุทธ์ใหม่ของ Scattered LAPSUS$ Hunters ➡️ เปลี่ยนจาก ransomware เป็น Extortion-as-a-Service (EaaS) ➡️ ขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัส ➡️ ลดความเสี่ยงจากการถูกไล่ล่าทางกฎหมาย ➡️ ใช้ Telegram channel เป็นช่องทางสื่อสารและโชว์ข้อมูล ✅ การล่าคนวงใน ➡️ เปิดรับสมัครพนักงานจากหลายอุตสาหกรรม ➡️ เน้น call center, gaming, SaaS, telecom และ hosting provider ➡️ ใช้ insider access เพื่อ bypass ระบบรักษาความปลอดภัย ➡️ คล้ายกับกลยุทธ์ของกลุ่ม Muddled Libra (Scattered Spider) ✅ การ tease ransomware ใหม่ ➡️ ชื่อว่า SHINYSP1D3R ➡️ อาจเป็นแค่เครื่องมือสร้างภาพลักษณ์ ➡️ ยังไม่มีหลักฐานการเข้ารหัสไฟล์ ➡️ อาจใช้เพื่อดึง affiliate เข้าร่วม EaaS ✅ ความเคลื่อนไหวล่าสุด ➡️ ข้อมูลจาก 6 องค์กรถูกปล่อยหลัง deadline ➡️ รวมถึง PII เช่น ชื่อ, วันเกิด, เบอร์โทร, ข้อมูล frequent flyer ➡️ เว็บไซต์ data leak ถูก deface ไม่สามารถเข้าถึงได้ ➡️ กลุ่มประกาศว่าจะไม่ปล่อยข้อมูลเพิ่ม https://securityonline.info/scattered-lapsus-hunters-pivot-to-eaas-launch-insider-recruitment-campaign-after-salesforce-extortion/

แก๊งคอลเซ็นเตอร์สแกมเมอร์คือจุดเริ่มต้นทุกๆอาชญากรรมทั้งหมด นอกจากบ่อนคาสิโนออฟไลน์และบ่อนการพนันออนไลน์,การค้ายาเสพติด การค้าอาวุธ การค้าวัตถุโบราณ การค้าแรงงานเถื่อนจากการหลอกลวง การค้ากาม การค้ามนุษย์ หนักสุดค้าอวัยวะมนุษย์ สาระพัดเถื่อนๆชั่วๆเลวๆที่โลกทั้งใบต้องจับตามองร่วมกันเป็นเคสกรณีศึกษาของโลกคือชาติอาชญากรรมโลกแบบเขมรของจอมเผด็จการฮุนเซนเจ้าพ่อรัฐมหาโจรฮับอาชญากรและสาระพัดอาชญากรรมโลกที่ตั้งที่ดีมีรัฐบาลแห่งชาติโจรเขมรค้ำหัวค้ำประกันการประกอบกิจการดำเนินการ,ทั้งแบบเถื่อนและแบบใช้ไม่เถื่อนบังหน้าขนส่งของเถื่อนไปร่วมด้วยกับของไม่เถื่อน,เจ้าพ่อสากลชั่วระดับโลกในยุคเวลานี้ก็ว่า. ..ไทยจะจัดการเขมรได้ ต้องยึดอำนาจปฏิวัติรัฐประหารรัฐบาลอนุทิน4เดือนทันที ปล่อยไว้มีแต่ชาติบ้านเมืองเสียหายเพราะคนในรัฐบาลปัจจุบันไม่บริสุทธิ์ มีคนในรัฐบาลอนุทินไปเกี่ยวข้องกับเขมรรัฐโจรรัฐอาชญากรรมสงครามใส่ไทยชัดเจนด้วยและแหล่งฮับอาชญากรรมสากลระดับโลกด้วยอีก. ..ทหารประชาชน นำโดยบิ๊กปูพนา ผบ.ทบ.ต้องจัดการ ตลอด ผบ.สส.สูงสุดต้องเด็ดขาดยึดอำนาจที่ประชาชนมอบไปให้รัฐบาลเลือกตั้งผิดแผลกผีบ้านี้ใช้ไปทางที่ผิด ที่ไม่สมควร ไม่ใช้แผนที่ดินแดน1:50,000ด้วยในmou43,44ร่วมกันกอดmou ด้วยซึ่งนายกฯและคณะครม.ลงมติยกเลิกmou43,44ได้ทันทีแต่ไม่ทำ ผลักภาระให้ประชาชน ไม่เหมือนตนพากันสุมหัวทำกันเองตอนแรก ไม่มาบอกห่าประชาชนให้ลงมติรับรู้ร่วมห่าเหวอะไร พอมีปัญหาเสือกโยนบอกว่าให้ประชาชนยกเลิกเองนะ กูไปตกลงเองได้ แต่ตอนยกเลิกกูให้มรึงประชาชนคนไทยทั้งประเทศร่วมกันยกเลิกนะ ถ้าลำบากยากเค็ญใจพวกมรึงๆประชาชนก็จงพากันยอมรับmouนี้เสีย ไม่ต้องยุ่งยากไง ใช้ต่อก็จบตามกูไปลงนามขายชาติให้สำเร็จที่1:200,000เลย กินดินแดนยึดแผ่นดินไทยจากปกติทหารใช้1:50,000 เขมรฉลาดจึงชวนกูมาขายชาติให้มันแลกผลประโยชน์ได้ดีกับมันด้วย ได้แผ่นดินไทยถึง1:200,000จากได้แค่1:50,000เอง,กินแผ่นดินไทยมรึงถึง1:150,000โคตรคุ้มค่ามากเลยกูเขมร. ..ทหารไทยของประชาชน หากยังไม่เห็นชัดสิ่งนี้ จะจบเลย สิ้นเดือนนี้ เสียแผ่นดินเหมือนตอนอดีตนายกฯอภิสิทธิ์แน่นอน มามุกเดียวกันเปะเลย, ..สแกมเมอร์เขมร ที่รุกรามมากมายขนาดนี้ก็เพราะมีทหารไทยสายพลชั่วเลวอีกนั่นล่ะไปทำสิ่งนี้ร่วมกับมันด้วย นักการเมืองอีกที่กูรูมากมายออกมาแฉ,การยึดอำนาจจะจบเรื่องเลวชั่วทั้งหมดทันทีทั้งเรื่องภายในและภายนอกประเทศ,เราสามารถกำจัดภัยความมั่นคงภายในได้เด็ดขาดด้วย ,จากนั้นค่อยต่อยอดขยายการกำจัดออกสู่วงนอกได้อีก. ..รัฐบาลนี้ชัดเจนว่า ถ่วงเวลาและอืดอาดยืดยาดมาก,ไร้ฝีมือมือความสามารถอะไรเลย,สินค้าเข้าออกทางทะเลกับเขมรยังเปิดช่องโหว่ได้ ,ตัดไฟฟ้า ตัดเน็ต ตัดอะไรสาระพัดยังไม่มีความน่าเชื่อถือ ,เรา..ประชาชนจนถึงเวลานี้ไม่มีความไว้วางใจในรัฐบาลอนุทินเลย,ตั้งแต่โยนหินถามทางหมายเปิดด่านตอนแรกๆถือว่าตบหน้าเรา..ประชาชนทั้งประเทศไทยมาก หยามน้ำใจคนไทย ทหารที่เสียชีวิต ขาขาดพิการ ทำลายหัวจิตหัวใจคนไทยมาก ประชาชนผู้บริสุทธิ์เราตาย เด็กๆเราตาย ตายนอกแนวปะทะ ตายนอกแนวสงครามปะทะยิงกันกับเขมร และมันยิงระเบิดใส่เด็กๆเราตายนะ ครอบครัวคนไทยเราตายเกือบหมดครอบครัว สส.สว.ฝั่งรัฐบาลจะลองถูกระเบิดยิงตายเกือบหมดครอบครัวดูก็ได้นะถ้าไม่มีความรู้สึกด้วย,เนปาลเผาครอบครัวรมต.ตายคาบ้านแบบนั้นมั้ย.,นักการเมืองจะฝ่ายรัฐบาลไทยหรือฝ่ายค้านทั้งหมดอย่าบีบน้ำใจเรา..ประชาชนคนไทยทั้งประเทศนะตลอดคนข้าราชการไทยกระทรวงทบวงกรมหน่วยงานใดๆด้วยโดยเฉพาะกระทรวงทรยศแผ่นดินไทยระวังไว้ เขารู้ที่อยู่ท่านหมดล่ะ,เครื่องบินยึดสนามบินห้ามบินออกนอกประเทศทั้งหมด,เจ้าสัว เจ้าขุนมูลนายอำมาตย์เจ้าพระยาคิดจะหนีออกแผ่นดินไทย ทิ้งแผ่นดินไทยหนีตายไปสวายสุขอยู่ต่างประเทศแบบในอดีตอาจฝันไปเลย,เมื่อประชาชนหมดความอดทน เนปาลที่ไทยเกิดแน่นอน.,ทั้งหมดจะถูกยึดทรัพย์สินและคืนสู่สามัญแก่แผ่นดินไทยดั่งเดิมแน่นอน. ..ทหารไทยต้องยืนเคียงข้างประชาชนเพราะทหารก็เกณฑ์พลมาจากประชาชนนี้ล่ะ,อนาคตอาจต้องมีกองกำลังภาคประชาชนตนเองประจำทุกๆหมู่บ้านทั้ง80,000หมู่บ้านทั่วประเทศ เรา..ประเทศไทยจะสามารถปกป้องตนเองร่วมกัน สามัคคีกันเป็นเครือข่ายกันทั่วประเทศ,ภัยในสังคมเกิดขึ้น เราเด็ดหัวมันเลย รกสังคม ,รั้วลวดหนามตลอดพรมแดนไทยกับเขมรต้องสร้างจริงจังชัดเจนตลอดพรมแดน ห้ามมีเว้นวรรค รวมถึงกำแพงรั้วลวดหนามไทยกับมาเลย์ด้วย สามารถสกัดจับโจรใต้หนีเข้ามาเลย์ได้ทันทีด้วย ลำบากแน่นอนเมื่อก่อเหตุแล้วหมายจะหนีข้ามเขตแดนไทยไปมาเลย์ ปืนอัตโนมัติตลอดแนวพรมแดนพร้อมยิงทีนทีที่พบคนต้องสงสัยเข้าเขตต้องห้ามโซนห้ามผู้คนที่ไม่ได้รับอนุญาตเข้าพื้นที่ใกล้รั้วลวดหนามตลอดแนวพรมแดนไทยกับมาเลย์ก็ว่า,ปัญหาชายแดนภาคใต้จะดีขึ้นเรื่อยๆแน่นอนเพราะก่อตอนไหนยิงทิ้งตอนนั้นเลย.,ไทยกับเขมรก็ด้วย เดทโซนโซนปลอดผู้คนนอกจากเจ้าหน้าที่ไทยที่เกี่ยวข้อง ใครเข้าพื้นที่นี้แบบผิดปกติ แอบหมายตัดรั้วลวดหนามจะข้ามแดน ปืนบวกกล้องตรวจพบเจอผ่านดาวเทียม สามารถยิงทิ้งอัตโนมัติทันที จากนั้นรถเก็บศพตามถนนติดริมรั้วกำแพงลวดหนามค่อยวิ่งไปเก็บศพจัดการดำเนินเรื่องราวต่อไป,แก๊งคอลเซ็นเตอร์อาจตายตามริมกำแพงรั้วลวดหนามไทยระบบพิเศษอัตโนมัติเราแบบนี้แน่นอน,พวกนี้ฆ่าทรมานมนุษย์ที่มันหลอกลวงมาค้าแรงงานจริง ความตายจึงเหมาะสมแก่แก๊งคอลเซ็นเตอร์ทั้งหมด,จีนสั่งประหารชีวิตทุกๆตัวนั้นถูกต้องแล้ว พวกนี้ทรมานทุบเหยื่อ ฆ่าสังหารเหยื่อจริง ไม่ใช่แค่เรียกค่าไถ่เท่านั้น บางคนค้ากามโสเภณีแบบบังคับทรมานเหยื่อสาระพัดวิธี หมดประโยชน์ชำแหละอวัยวะมนุษย์ขายตา ปอดตับ หัวใจและอวัยวะอื่นๆจริง มันค้าอวัยวะจริง ต้นเหตุก็เริ่มจากแก๊งคอลเซ็นเตอร์นี้ล่ะ,ไม่ใช่ขายแรงงานเหมือนวัวเหมือนควายแค่นั้นในเหยื่อทั้งหมดที่มันหลอกลวงไปหรือลักพาตัวไป. ..รัฐบาลไทยสร้างบทบาทอมพระเต็มๆแบบเสือกนิ่งเฉย ไร้มาตราการเด็ดขาดห่าเหวใดๆตลอดมาแก่ชาติเขมรห่านี้ชาติอาชญากรรมระดับโลกแบบนี้ถือว่ากากมากถึงมากที่สุด.,มันยิงคนไทยเราตาย มีนก่ออาชญากรรมสงครามใส่ไทย เสือกนิ่งสงบเงียบ แอ็คชั่นไม่มีห่าอะไรจริงเลย ถึงเวลานี้น่าเศร้าใจมาก,ทรัมป์สันตีนกับมาเลย์มาเสือกอีก,ต้องไม่เข้าร่วมประชุมอาเชียนทันทีเลย ,ถือว่ามาเลย์และอเมริกาเสียมารยาทแทรกแซงความมั่นคงในอธิปไตยไทยชัดเจนในการกำจัดเขมรศัตรูภัยร้ายแรงในอธิปไตยชาติไทยและภัยอาชญากรอาชญากรรมของโลกแต่มาเลย์และอเมริกาอยากให้ไทยไปจับมือกับคนฆ่าคนไทยและฆาตกรฆ่าคนทั่วโลกที่เขมรหลอกลวงมาฆาตกรรมในเขมรมันเอง ให้ไทยไปจับมือกับฆาตกรโลก จับมือกับโจร มาเลย์มันบ้าไปกับทรัมป์ชัดเจน อาเชียนถือว่าเสียของมากหากเข้าร่วมการประชุมครั้งนี้.อเมริกาทรัมป์และมาเลย์คืออาชญากรอาชญากรรมก่อการร่วมกับเขมรฮุนเซนชัดเจนด้วย สนับสนุนส่งเสริมชาติอาชญากรและอาชญากรรมด้วย จนบีบบังคับพยายามทุกๆวิถีทางให้ไทยจับมือกับรัฐโจรเขมรทั้งประเทศเขมรในปัจจุบัน พวกนี้ใช้ไม่ได้หวังแต่ประโยชน์ร่วมกับเขมรชัดเจน,จนลืมความถูกความผืดชั่วชอบดีในสมองสันตีนมัน. https://youtube.com/watch?v=zO-i_lsDz0E&si=bKzpVbdy24sD678s

สลด นักศึกษาเกาหลีใต้เสียชีวิตปริศนาหลังถูกลักพาตัว-เรียกค่าไถ่ในกัมพูชา https://www.thai-tai.tv/news/21896/ . #ไทยไท #นักศึกษาเกาหลีใต้ #อาชญากรรมข้ามชาติ #กัมพูชา #ค่าไถ่ #เอเชียตะวันออกเฉียงใต้

🕵️‍♂️ “Scattered LAPSUS$ Hunters อ้างขโมยข้อมูล 1 พันล้านเรคคอร์ดจาก Salesforce — เปิดฉากเรียกค่าไถ่ระดับโลก” กลุ่มแฮ็กเกอร์พันธมิตรใหม่ในชื่อ “Scattered LAPSUS$ Hunters” หรือ SLSH ซึ่งเป็นการรวมตัวของกลุ่มอาชญากรไซเบอร์ชื่อดังอย่าง LAPSUS$, Scattered Spider (Muddled Libra) และ ShinyHunters (Bling Libra) ได้ออกมาอ้างความรับผิดชอบในการเจาะระบบของลูกค้า Salesforce กว่า 39 รายทั่วโลก และขโมยข้อมูลลูกค้ารวมกว่า 1 พันล้านเรคคอร์ด จากรายงานของ Unit 42 (Palo Alto Networks) กลุ่มนี้ไม่ได้ใช้วิธี ransomware แบบเดิมที่เข้ารหัสไฟล์ แต่ใช้โมเดล “Extortion-as-a-Service” (EaaS) ที่เน้นการขโมยข้อมูลและข่มขู่เรียกค่าไถ่โดยไม่ทิ้งร่องรอยของมัลแวร์ ซึ่งทำให้ยากต่อการตรวจจับและหลีกเลี่ยงการถูกบล็อกโดยระบบรักษาความปลอดภัย กลุ่ม SLSH ยังเปิดเผยรายชื่อเหยื่อและตั้งเส้นตายให้จ่ายค่าไถ่ภายในวันที่ 10 ตุลาคม 2025 พร้อมขู่ว่าจะเปิดเผยข้อมูลหากไม่ปฏิบัติตาม พวกเขายังเปิดรับสมัครแฮ็กเกอร์เพิ่มเติมผ่าน Telegram เพื่อช่วยส่งจดหมายข่มขู่ไปยังผู้บริหารขององค์กรเป้าหมาย Salesforce ออกแถลงการณ์ปฏิเสธการเจรจาและยืนยันว่าจะไม่จ่ายค่าไถ่ใด ๆ ขณะที่ FBI ได้เข้ายึดโดเมนของ BreachForums ซึ่งเป็นแพลตฟอร์มที่กลุ่มใช้เผยแพร่ข้อมูลที่ขโมยมา ✅ ข้อมูลสำคัญจากข่าว ➡️ กลุ่ม Scattered LAPSUS$ Hunters (SLSH) อ้างขโมยข้อมูลจากลูกค้า Salesforce ➡️ ข้อมูลที่ถูกขโมยรวมกว่า 1 พันล้านเรคคอร์ดจาก 39 องค์กร ➡️ ใช้โมเดล EaaS (Extortion-as-a-Service) แทน ransomware ➡️ ไม่ใช้มัลแวร์เข้ารหัส แต่เน้นข่มขู่ด้วยข้อมูลที่ขโมยมา ➡️ ตั้งเส้นตายเรียกค่าไถ่ภายใน 10 ตุลาคม 2025 ➡️ รับสมัครแฮ็กเกอร์ผ่าน Telegram เพื่อช่วยส่งจดหมายข่มขู่ ➡️ Salesforce ปฏิเสธการเจรจาและไม่จ่ายค่าไถ่ ➡️ FBI ยึดโดเมนของ BreachForums ที่ใช้เผยแพร่ข้อมูล ✅ ข้อมูลเสริมจากภายนอก ➡️ LAPSUS$ เคยโจมตี Microsoft, NVIDIA และ Uber ในอดีต ➡️ Scattered Spider มีความเชี่ยวชาญด้าน social engineering ➡️ ShinyHunters เคยขายข้อมูลผู้ใช้จากหลายแพลตฟอร์มใหญ่ ➡️ EaaS กำลังเป็นแนวโน้มใหม่ในโลกไซเบอร์ เพราะหลีกเลี่ยงการตรวจจับได้ง่าย ➡️ การยึดโดเมนของ BreachForums เป็นความพยายามของ FBI ในการตัดช่องทางเผยแพร่ https://securityonline.info/hacker-alliance-demands-ransom-scattered-lapsus-hunters-claim-1-billion-records-stolen-from-salesforce/

เพจ “CSI LA" เปิดเรื่องช็อก! นศ.เกาหลีวัยเพียง 22 ปี ถูกอุ้มฆ่าในกัมพูชา หลังมาพักผ่อนช่วงปิดเทอม ทางครอบครัวผู้เสียชีวิตโดนเรียกค่าไถ่ 1.3 ล้านบาท รัฐบาลเกาหลีประท้วงเรียกความยุติธรรม อ่านต่อ..https://news1live.com/detail/9680000097251 #News1live #News1 #Sondhitalk #SondhiX #คุยทุกเรื่องกับสนธิ #สนธิเล่าเรื่อง #Thaitimes #กัมพูชายิงก่อน #ไทยนี้รักสงบแต่ถึงรบไม่ขลาด #CambodiaOpenedFire #เขมรลักลอบวางระเบิด

🛡️ “Crimson Collective เจาะระบบ AWS ด้วย TruffleHog — ขโมยข้อมูล 570GB จาก Red Hat และเริ่มขยายเป้าหมายสู่คลาวด์ทั่วโลก” กลุ่มแฮกเกอร์ Crimson Collective ซึ่งเคยสร้างความเสียหายครั้งใหญ่ให้กับ Red Hat ด้วยการขโมยข้อมูลกว่า 570GB จาก GitLab repository ภายในองค์กร กำลังขยายเป้าหมายไปยังระบบคลาวด์ของ Amazon Web Services (AWS) โดยใช้เครื่องมือโอเพ่นซอร์สชื่อ TruffleHog ในการค้นหาคีย์ลับและข้อมูลรับรองที่หลุดจากโค้ดหรือ repository สาธารณะ เมื่อได้ข้อมูลรับรองของ AWS แล้ว กลุ่มนี้จะใช้ API เพื่อสร้าง IAM users และ access keys ใหม่ พร้อมแนบ policy ระดับสูงอย่าง AdministratorAccess เพื่อยกระดับสิทธิ์ จากนั้นจะทำการสำรวจโครงสร้างระบบของเหยื่อ เช่น EC2, S3, RDS และ EBS เพื่อวางแผนการขโมยข้อมูลและการเรียกค่าไถ่ ในกรณีของ Red Hat ข้อมูลที่ถูกขโมยรวมถึง Customer Engagement Records (CER) จำนวน 800 รายการ ซึ่งเป็นเอกสารภายในที่มีข้อมูลโครงสร้างระบบของลูกค้า เช่น network architecture, system configuration, credentials และคำแนะนำในการแก้ปัญหา นักวิจัยจาก Rapid7 พบว่า Crimson Collective ใช้หลาย IP address และมีการ reuse บาง IP ในหลายเหตุการณ์ ทำให้สามารถติดตามพฤติกรรมได้บางส่วน นอกจากนี้ยังมีการส่งอีเมลเรียกค่าไถ่ผ่านระบบ AWS Simple Email Service (SES) ภายในบัญชีที่ถูกเจาะ AWS แนะนำให้ผู้ใช้ใช้ credentials แบบ short-term และ least privilege พร้อมตั้ง IAM policy ที่จำกัดสิทธิ์อย่างเข้มงวด และหากสงสัยว่าข้อมูลรับรองอาจหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำทันที ✅ ข้อมูลสำคัญจากข่าว ➡️ Crimson Collective ขโมยข้อมูล 570GB จาก Red Hat โดยใช้ TruffleHog ➡️ ข้อมูลที่ถูกขโมยรวมถึง 800 CER ที่มีข้อมูลโครงสร้างระบบของลูกค้า ➡️ กลุ่มนี้ขยายเป้าหมายไปยัง AWS โดยใช้ credentials ที่หลุดจาก repository ➡️ ใช้ API สร้าง IAM users และ access keys พร้อมแนบ AdministratorAccess ➡️ สำรวจ EC2, S3, RDS, EBS เพื่อวางแผนการขโมยข้อมูล ➡️ ส่งอีเมลเรียกค่าไถ่ผ่าน AWS SES ภายในบัญชีที่ถูกเจาะ ➡️ Rapid7 พบการใช้หลาย IP และการ reuse IP ในหลายเหตุการณ์ ➡️ AWS แนะนำให้ใช้ credentials แบบ short-term และ least privilege ➡️ หากสงสัยว่าข้อมูลหลุด ควรดำเนินการตามขั้นตอนที่ AWS แนะนำ ✅ ข้อมูลเสริมจากภายนอก ➡️ TruffleHog เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ค้นหาคีย์ลับในโค้ดและ repository ➡️ IAM (Identity and Access Management) เป็นระบบจัดการสิทธิ์ใน AWS ➡️ AdministratorAccess เป็น policy ที่ให้สิทธิ์เต็มรูปแบบในบัญชี AWS ➡️ CER ของ Red Hat มักมีข้อมูลละเอียดที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร ➡️ การใช้ SES ภายในบัญชีที่ถูกเจาะช่วยให้แฮกเกอร์ส่งอีเมลได้โดยไม่ถูกบล็อก https://www.techradar.com/pro/security/red-hat-hackers-crimson-collective-are-now-going-after-aws-instances

🚨 “จับสองวัยรุ่นอังกฤษ โจมตีแรนซัมแวร์ใส่ศูนย์เด็ก Kido — ข้อมูลเด็ก 8,000 คนถูกขโมยและขู่เรียกค่าไถ่” ตำรวจนครบาลลอนดอน (Met Police) ได้จับกุมวัยรุ่นชายอายุ 17 ปีสองคนในเมือง Bishop’s Stortford, Hertfordshire เมื่อวันที่ 7 ตุลาคม 2025 จากข้อหาการใช้คอมพิวเตอร์ในทางมิชอบและการแบล็กเมล์ หลังจากเกิดเหตุโจมตีแรนซัมแวร์ต่อเครือข่ายศูนย์เด็ก Kido ซึ่งมีสาขาทั่วลอนดอน กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “Radiant” ได้อ้างความรับผิดชอบในการโจมตี โดยสามารถเข้าถึงข้อมูลส่วนตัวของเด็กกว่า 8,000 คนและครอบครัวผ่านซอฟต์แวร์ Famly ที่ศูนย์เด็กใช้ในการจัดการข้อมูล แม้ Famly จะยืนยันว่าโครงสร้างพื้นฐานของตนไม่ถูกเจาะ แต่การเข้าถึงผ่านบัญชีผู้ใช้ก็เพียงพอให้ Radiant ขโมยข้อมูลสำคัญ เช่น ชื่อ ที่อยู่ รูปถ่าย ข้อมูลติดต่อของผู้ปกครอง และบันทึกทางการแพทย์ที่เป็นความลับ Radiant ได้เรียกร้องค่าไถ่ประมาณ £600,000 เป็น Bitcoin และใช้วิธีการกดดันที่รุนแรง เช่น โทรหาผู้ปกครองโดยตรง และโพสต์ภาพเด็กบางคนลงใน dark web เพื่อบีบให้ศูนย์เด็กจ่ายเงิน อย่างไรก็ตาม กลุ่มนี้กลับได้รับเสียงประณามอย่างหนัก แม้แต่จากแฮกเกอร์ด้วยกัน จนสุดท้าย Radiant ได้เบลอภาพและประกาศลบข้อมูลทั้งหมดเมื่อวันที่ 2 ตุลาคม ตำรวจ Met ยืนยันว่ากำลังดำเนินการสอบสวนอย่างจริงจัง โดย Will Lyne หัวหน้าฝ่ายอาชญากรรมไซเบอร์กล่าวว่า “นี่เป็นก้าวสำคัญในการนำผู้กระทำผิดเข้าสู่กระบวนการยุติธรรม” ขณะที่ศูนย์เด็ก Kido ก็ออกแถลงการณ์ขอบคุณการดำเนินการของตำรวจ เหตุการณ์นี้สะท้อนถึงความเปราะบางของภาคการศึกษา โดยเฉพาะศูนย์เด็กและโรงเรียนที่มักมีงบประมาณด้าน IT จำกัด ทำให้ตกเป็นเป้าหมายของแรนซัมแวร์บ่อยครั้ง รายงานจาก Sophos และ AtlastVPN เคยระบุว่า 80% ของผู้ให้บริการการศึกษาระดับต้นเคยถูกโจมตีด้วยแรนซัมแวร์ภายในหนึ่งปี ✅ ข้อมูลสำคัญจากข่าว ➡️ ตำรวจ Met จับกุมวัยรุ่นชายสองคนจากข้อหาใช้คอมพิวเตอร์ในทางมิชอบและแบล็กเมล์ ➡️ เหตุโจมตีเกิดขึ้นกับศูนย์เด็ก Kido ซึ่งมีข้อมูลเด็กกว่า 8,000 คนถูกขโมย ➡️ ข้อมูลที่ถูกขโมยรวมถึงชื่อ ที่อยู่ รูปถ่าย และบันทึกทางการแพทย์ ➡️ กลุ่มแฮกเกอร์ Radiant เรียกร้องค่าไถ่ £600,000 เป็น Bitcoin ➡️ Radiant โทรหาผู้ปกครองและโพสต์ภาพเด็กใน dark web เพื่อกดดัน ➡️ หลังถูกประณาม กลุ่ม Radiant เบลอภาพและประกาศลบข้อมูล ➡️ ตำรวจ Met ยืนยันดำเนินการสอบสวนอย่างจริงจัง ➡️ ศูนย์เด็ก Kido ขอบคุณการดำเนินการของตำรวจ ✅ ข้อมูลเสริมจากภายนอก ➡️ Famly เป็นซอฟต์แวร์จัดการศูนย์เด็กที่ใช้กันแพร่หลายในยุโรป ➡️ ข้อมูลเด็กเป็นเป้าหมายของแฮกเกอร์ เพราะมีประวัติเครดิตสะอาดและยากต่อการตรวจพบ ➡️ การโจมตีแรนซัมแวร์ในภาคการศึกษามักเกิดจาก phishing และการตั้งค่าความปลอดภัยต่ำ ➡️ กลุ่มแฮกเกอร์วัยรุ่น เช่น Lapsus$ และ Scattered Spider เคยโจมตีองค์กรใหญ่หลายแห่ง ➡️ การโจมตีข้อมูลเด็กถือเป็น “จุดต่ำสุดใหม่” ของอาชญากรรมไซเบอร์ https://hackread.com/uk-police-arrest-teens-kido-nursery-ransomware-attack/

🧨 “Chaos Ransomware กลับมาในเวอร์ชัน C++ — ลบไฟล์ขนาดใหญ่, ขโมย Bitcoin แบบเงียบ ๆ และทำลายระบบอย่างรุนแรง” FortiGuard Labs ตรวจพบการพัฒนาใหม่ของมัลแวร์ Chaos Ransomware ซึ่งเปลี่ยนจากภาษา .NET มาเป็น C++ เป็นครั้งแรกในปี 2025 โดยเวอร์ชันใหม่นี้มีชื่อว่า Chaos-C++ และมาพร้อมกับกลยุทธ์ที่รุนแรงและซับซ้อนมากขึ้น ไม่เพียงแค่เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ แต่ยังลบไฟล์ขนาดใหญ่โดยตรง และขโมยข้อมูล Bitcoin จาก clipboard ของผู้ใช้แบบเงียบ ๆ การโจมตีเริ่มต้นด้วยโปรแกรมปลอมชื่อ “System Optimizer v2.1” ที่แสดงข้อความหลอกว่าเป็นการปรับแต่งระบบ แต่เบื้องหลังกลับติดตั้ง payload ของ Chaos โดยใช้เทคนิคซ่อนหน้าต่างและบันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อหลีกเลี่ยงการตรวจจับ เมื่อมัลแวร์ตรวจพบสิทธิ์ระดับ admin มันจะรันคำสั่งลบระบบสำรอง เช่น shadow copy, recovery catalog และการตั้งค่าการบูต เพื่อป้องกันไม่ให้เหยื่อกู้คืนข้อมูลได้ Chaos-C++ ใช้กลยุทธ์ 3 ระดับในการจัดการไฟล์: 1️⃣ ไฟล์ ≤ 50MB: เข้ารหัสเต็มรูปแบบ 2️⃣ ไฟล์ 50MB–1.3GB: ข้ามไปเพื่อเพิ่มความเร็ว 3️⃣ ไฟล์ > 1.3GB: ลบเนื้อหาโดยตรงแบบไม่สามารถกู้คืนได้ ในด้านการเข้ารหัส หากระบบมี Windows CryptoAPI จะใช้ AES-256-CFB พร้อมการสร้างคีย์ผ่าน SHA-256 แต่หากไม่มี จะ fallback ไปใช้ XOR ซึ่งอ่อนแอกว่าแต่ยังทำงานได้ ฟีเจอร์ใหม่ที่น่ากลัวคือ clipboard hijacking — Chaos จะตรวจสอบ clipboard หากพบที่อยู่ Bitcoin จะเปลี่ยนเป็น wallet ของผู้โจมตีทันที ทำให้เหยื่อที่พยายามจ่ายค่าไถ่หรือทำธุรกรรมอื่น ๆ อาจส่งเงินไปยังผู้โจมตีโดยไม่รู้ตัว ✅ ข้อมูลสำคัญจากข่าว ➡️ Chaos Ransomware เวอร์ชันใหม่เขียนด้วยภาษา C++ เป็นครั้งแรก ➡️ ใช้โปรแกรมปลอมชื่อ “System Optimizer v2.1” เพื่อหลอกให้ติดตั้ง ➡️ บันทึกกิจกรรมไว้ในไฟล์ sysopt.log เพื่อสร้าง forensic footprint ➡️ ตรวจสอบสิทธิ์ admin โดยสร้างไฟล์ทดสอบที่ C:\WINDOWS\test.tmp ➡️ รันคำสั่งลบระบบสำรอง เช่น shadow copy และ recovery catalog ➡️ กลยุทธ์จัดการไฟล์: เข้ารหัส, ข้าม, และลบเนื้อหาโดยตรง ➡️ ใช้ AES-256-CFB หากมี CryptoAPI หรือ fallback เป็น XOR ➡️ เปลี่ยนชื่อไฟล์เป็น .chaos หลังเข้ารหัส ➡️ Hijack clipboard เพื่อขโมย Bitcoin โดยเปลี่ยนที่อยู่เป็น wallet ของผู้โจมตี ➡️ เป้าหมายหลักคือผู้ใช้ Windows ที่มีไฟล์ขนาดใหญ่และใช้ cryptocurrency ✅ ข้อมูลเสริมจากภายนอก ➡️ Chaos เวอร์ชันก่อนหน้า เช่น BlackSnake และ Lucky_Gh0$t ใช้ .NET และมีพฤติกรรมคล้ายกัน ➡️ Clipboard hijacking เคยพบในมัลแวร์เช่น Agent Tesla และ RedLine Stealer ➡️ การลบไฟล์ขนาดใหญ่โดยตรงเป็นกลยุทธ์ที่พบได้น้อยใน ransomware ทั่วไป ➡️ การใช้ CreateProcessA() กับ CREATE_NO_WINDOW เป็นเทคนิคหลบการตรวจจับ ➡️ การใช้ mutex เพื่อป้องกันการรันหลาย instance เป็นเทคนิคที่พบในมัลแวร์ระดับสูง ‼️ คำเตือนและข้อจำกัด ⛔ Chaos-C++ สามารถลบไฟล์ขนาดใหญ่โดยไม่สามารถกู้คืนได้ ⛔ การ hijack clipboard ทำให้ผู้ใช้สูญเสีย Bitcoin โดยไม่รู้ตัว ⛔ การ fallback ไปใช้ XOR ทำให้การเข้ารหัสอ่อนแอแต่ยังทำงานได้ ⛔ การลบระบบสำรองทำให้ไม่สามารถใช้ recovery tools ได้ ⛔ การปลอมตัวเป็นโปรแกรมปรับแต่งระบบทำให้ผู้ใช้หลงเชื่อได้ง่าย https://securityonline.info/chaos-ransomware-evolves-to-c-uses-destructive-extortion-to-delete-large-files-and-hijack-bitcoin-clipboard/

🛡️ “มหาวิทยาลัยอังกฤษโดนแฮก 91% ธุรกิจ 43% — ภัยไซเบอร์ระบาดหนักทั่วสหราชอาณาจักรในปี 2025” ในช่วง 12 เดือนที่ผ่านมา สหราชอาณาจักรเผชิญกับการโจมตีทางไซเบอร์อย่างรุนแรง โดยผลสำรวจจากรัฐบาลเผยว่า 91% ของมหาวิทยาลัย และ 43% ของธุรกิจที่ถูกสำรวจ ได้รับผลกระทบจากการโจมตีอย่างน้อยหนึ่งครั้ง ไม่ว่าจะเป็นการเจาะระบบ การเรียกค่าไถ่ หรือการขโมยข้อมูล กรณีที่โดดเด่นคือการโจมตี Jaguar Land Rover (JLR) ที่ทำให้บริษัทต้องหยุดดำเนินงานหลายสัปดาห์ และขอความช่วยเหลือจากรัฐบาลเพื่อหลีกเลี่ยงการปลดพนักงาน ซึ่งส่งผลกระทบเป็นลูกโซ่ต่อซัพพลายเออร์หลายพันรายที่พึ่งพา JLR เป็นลูกค้าหลัก แม้ธุรกิจจะได้รับผลกระทบอย่างหนัก แต่สถาบันการศึกษากลับเป็นเป้าหมายหลักของแฮกเกอร์ โดย 85% ของวิทยาลัย, 60% ของโรงเรียนมัธยม และ 44% ของโรงเรียนประถมก็ถูกโจมตีเช่นกัน รวมถึงกรณีล่าสุดที่เครือโรงเรียนอนุบาลถูกแฮกและนำภาพเด็กไปใช้เป็นเครื่องมือแบล็กเมล์ ที่น่าตกใจคือการโจมตีจำนวนมากไม่ได้มาจากต่างประเทศ แต่เกิดจากแฮกเกอร์วัยรุ่นในอังกฤษเอง ซึ่งเช่าระบบ ransomware จากกลุ่มรัสเซีย แล้วใช้โจมตีเป้าหมายที่มีชื่อเสียงเพื่อสร้างชื่อเสียงในวงการใต้ดิน ผู้เชี่ยวชาญจาก Royal United Services Institute ระบุว่า แฮกเกอร์กลุ่มนี้ไม่ได้หวังผลทางการเงินเพียงอย่างเดียว แต่ต้องการ “แสดงฝีมือ” และได้รับการยอมรับในชุมชนแฮกเกอร์ ซึ่งทำให้เป้าหมายกลายเป็นองค์กรที่มีชื่อเสียงมากกว่าระบบที่อ่อนแอ รัฐบาลอังกฤษหวังว่าการเผยแพร่ผลสำรวจนี้จะกระตุ้นให้หน่วยงานต่าง ๆ ปรับปรุงมาตรการความปลอดภัยทางไซเบอร์ เพราะหลายแห่งยังไม่มีระบบป้องกันที่ทันสมัย และกลายเป็น “ผลไม้ที่ห้อยต่ำ” ที่แฮกเกอร์เลือกโจมตีก่อน ✅ ข้อมูลสำคัญจากข่าว ➡️ 91% ของมหาวิทยาลัยในอังกฤษถูกโจมตีทางไซเบอร์ในช่วง 12 เดือนที่ผ่านมา ➡️ 43% ของธุรกิจที่ถูกสำรวจได้รับผลกระทบจากการโจมตี ➡️ JLR ถูกโจมตีจนต้องหยุดดำเนินงานและขอความช่วยเหลือจากรัฐบาล ➡️ 85% ของวิทยาลัย, 60% ของโรงเรียนมัธยม, 44% ของโรงเรียนประถมถูกโจมตี ➡️ มีกรณีโรงเรียนอนุบาลถูกแฮกและนำภาพเด็กไปใช้แบล็กเมล์ ➡️ แฮกเกอร์วัยรุ่นในอังกฤษเช่าระบบ ransomware จากกลุ่มรัสเซีย ➡️ เป้าหมายหลักคือองค์กรที่มีชื่อเสียงเพื่อสร้างชื่อในวงการแฮกเกอร์ ➡️ รัฐบาลหวังผลสำรวจจะกระตุ้นให้ปรับปรุงระบบความปลอดภัย ➡️ หลายองค์กรยังไม่มีมาตรการป้องกันที่ทันสมัย ✅ ข้อมูลเสริมจากภายนอก ➡️ การโจมตีทางไซเบอร์ในปี 2025 มีแนวโน้มเพิ่มขึ้นทั่วโลก โดยเฉพาะในภาคการศึกษา ➡️ Ransomware เป็นภัยที่ทำให้ระบบหยุดชะงักและเรียกค่าไถ่สูง ➡️ การโจมตีแบบ supply chain ทำให้ธุรกิจที่เกี่ยวข้องได้รับผลกระทบเป็นวงกว้าง ➡️ การใช้ AI ในการสร้าง phishing email ทำให้การหลอกลวงมีความสมจริงมากขึ้น ➡️ การขาดบุคลากรด้าน cybersecurity เป็นปัญหาใหญ่ในองค์กรขนาดเล็ก https://www.tomshardware.com/tech-industry/cyber-security/cyberattacks-hit-91-percent-of-universities-and-43-percent-of-businesses-in-last-12-months-in-the-uk-survey-suggests-more-than-600-000-businesses-61-000-charities-affected

🧨 “J GROUP อ้างเจาะระบบ Dimensional Control Systems — ข้อมูลลูกค้า Boeing, Samsung, Siemens เสี่ยงหลุด” กลุ่มแฮกเกอร์หน้าใหม่ชื่อว่า “J GROUP” ได้ออกมาอ้างว่าได้เจาะระบบของบริษัท Dimensional Control Systems (DCS) ซึ่งเป็นผู้พัฒนาซอฟต์แวร์ด้านวิศวกรรมคุณภาพที่ใช้ในอุตสาหกรรมการผลิตระดับโลก โดยมีลูกค้ารายใหญ่ เช่น Boeing, Samsung, Siemens, Volkswagen และ Philips Medical แฮกเกอร์ระบุว่าได้ขโมยข้อมูลกว่า 11GB ซึ่งรวมถึงเอกสารภายในที่ละเอียดอ่อน เช่น สถาปัตยกรรมซอฟต์แวร์, ไฟล์การตั้งค่าระบบ CAE, HPC และ PLM, ข้อมูลเมตาของลูกค้า, สิทธิ์การเข้าถึงของผู้ใช้, รายงานการตรวจสอบ, เอกสารทางกฎหมาย และขั้นตอนการสำรองข้อมูลและสนับสนุนทางเทคนิค เพื่อพิสูจน์การโจมตี J GROUP ได้ปล่อยไฟล์ .txt และโฟลเดอร์บีบอัดที่มีตัวอย่างเอกสาร ซึ่งนักวิจัยจาก Cybernews ได้ตรวจสอบแล้วพบว่ามีชื่อพนักงานและรายงานค่าใช้จ่าย แต่ยังไม่สามารถยืนยันความถูกต้องของข้อมูลได้แน่ชัด และเตือนว่าแฮกเกอร์มักนำข้อมูลเก่ามาใช้ใหม่เพื่อสร้างแรงกดดัน DCS ซึ่งตั้งอยู่ในรัฐมิชิแกน ยังไม่ออกมายืนยันหรือปฏิเสธเหตุการณ์นี้อย่างเป็นทางการ แต่หากข้อมูลที่หลุดเป็นของจริง อาจส่งผลกระทบต่อความเชื่อมั่นของลูกค้า ความมั่นคงของระบบ และสถานะทางกฎหมายของบริษัทอย่างรุนแรง ✅ ข้อมูลสำคัญจากข่าว ➡️ J GROUP อ้างว่าเจาะระบบของ Dimensional Control Systems และขโมยข้อมูล 11GB ➡️ ข้อมูลที่ถูกขโมยรวมถึงสถาปัตยกรรมซอฟต์แวร์, การตั้งค่าระบบ, เมตาของลูกค้า และเอกสารทางกฎหมาย ➡️ มีการปล่อยไฟล์ตัวอย่างเพื่อพิสูจน์การโจมตี เช่น .txt และโฟลเดอร์บีบอัด ➡️ Cybernews ตรวจสอบแล้วพบชื่อพนักงานและรายงานค่าใช้จ่าย แต่ยังไม่ยืนยันความถูกต้อง ➡️ DCS ยังไม่ออกมายืนยันหรือปฏิเสธเหตุการณ์นี้ ➡️ DCS เป็นผู้พัฒนาซอฟต์แวร์ 3DCS Variation Analyst ที่ใช้ในอุตสาหกรรมการผลิต ➡️ ลูกค้าของ DCS ได้แก่ Boeing, Siemens, Samsung, Volkswagen, Philips Medical ฯลฯ ➡️ หากข้อมูลเป็นของจริง อาจกระทบต่อความมั่นคงของระบบและความเชื่อมั่นของลูกค้า ✅ ข้อมูลเสริมจากภายนอก ➡️ 3DCS Variation Analyst ใช้ในการจำลองความคลาดเคลื่อนของชิ้นส่วนก่อนการผลิต ➡️ CAE, HPC และ PLM เป็นระบบที่ใช้ในงานวิศวกรรมขั้นสูงและการจัดการผลิตภัณฑ์ ➡️ การโจมตีแบบ ransomware มักใช้การขู่เปิดเผยข้อมูลเพื่อเรียกค่าไถ่ ➡️ J GROUP เป็นกลุ่มแฮกเกอร์หน้าใหม่ที่เริ่มปรากฏในต้นปี 2025 ➡️ กลุ่มแฮกเกอร์บางกลุ่มเริ่มเปลี่ยนจากการเรียกค่าไถ่เป็นการขายข้อมูลให้ผู้เสนอราคาสูงสุด https://www.techradar.com/pro/security/hackers-claim-to-have-hit-third-part-provider-for-boeing-samsung-and-more

🕵️‍♂️ “Oracle ถูกขู่เรียกค่าไถ่จากแฮกเกอร์ — ข้อมูลลูกค้า E-Business Suite อาจถูกเจาะผ่านช่องโหว่เดิม” Oracle กำลังเผชิญกับการโจมตีไซเบอร์ครั้งใหญ่ เมื่อกลุ่มแฮกเกอร์ที่เชื่อมโยงกับ Cl0p ransomware ได้ส่งอีเมลขู่เรียกค่าไถ่ไปยังผู้บริหารขององค์กรต่าง ๆ ที่ใช้ระบบ Oracle E-Business Suite โดยอ้างว่าขโมยข้อมูลสำคัญไปแล้ว และเรียกร้องเงินสูงสุดถึง 50 ล้านดอลลาร์เพื่อไม่ให้เปิดเผยข้อมูลเหล่านั้น การโจมตีเริ่มต้นเมื่อปลายเดือนกันยายน 2025 โดยแฮกเกอร์ใช้บัญชีอีเมลที่ถูกเจาะจำนวนมาก ส่งอีเมลไปยังผู้บริหารระดับสูง พร้อมแนบหลักฐาน เช่น ภาพหน้าจอและโครงสร้างไฟล์ เพื่อแสดงว่าพวกเขาเข้าถึงระบบได้จริง แม้ว่า Google และ Mandiant จะยังไม่สามารถยืนยันได้ว่าข้อมูลถูกขโมยจริงหรือไม่ แต่ก็พบว่ามีการใช้บัญชีที่เคยเกี่ยวข้องกับกลุ่ม Cl0p และ FIN11 ซึ่งเป็นกลุ่มอาชญากรรมไซเบอร์ที่มีประวัติการโจมตีองค์กรขนาดใหญ่ทั่วโลก ช่องทางที่แฮกเกอร์ใช้คือการเจาะบัญชีผู้ใช้และใช้ฟีเจอร์รีเซ็ตรหัสผ่านในหน้า AppsLocalLogin.jsp ซึ่งมักไม่อยู่ภายใต้ระบบ SSO และไม่มีการเปิดใช้ MFA ทำให้สามารถเข้าถึงระบบได้โดยง่าย โดย Oracle ยอมรับว่าการโจมตีอาจใช้ช่องโหว่ที่เคยถูกระบุไว้ก่อนหน้านี้ และแนะนำให้ลูกค้าอัปเดตแพตช์ล่าสุดทันที แม้จะยังไม่มีการยืนยันว่าข้อมูลถูกขโมยจริง แต่ผู้เชี่ยวชาญเตือนว่าแค่อีเมลขู่ก็สามารถสร้างความเสียหายต่อชื่อเสียงและความเชื่อมั่นขององค์กรได้แล้ว และแนะนำให้ทุกองค์กรที่ใช้ Oracle EBS ตรวจสอบระบบอย่างละเอียดเพื่อหาหลักฐานการเจาะระบบหรือการเข้าถึงที่ผิดปกติ ✅ ข้อมูลสำคัญจากข่าว ➡️ Oracle ยืนยันว่าลูกค้าได้รับอีเมลขู่เรียกค่าไถ่จากแฮกเกอร์ ➡️ กลุ่มที่เกี่ยวข้องคือ Cl0p และ FIN11 ซึ่งมีประวัติการโจมตีองค์กรขนาดใหญ่ ➡️ อีเมลขู่มีหลักฐาน เช่น ภาพหน้าจอและโครงสร้างไฟล์ เพื่อเพิ่มแรงกดดัน ➡️ เริ่มต้นเมื่อปลายเดือนกันยายน 2025 และยังดำเนินอยู่ ➡️ ใช้ช่องทางรีเซ็ตรหัสผ่านผ่านหน้า AppsLocalLogin.jsp ที่ไม่มี MFA ➡️ Oracle แนะนำให้ลูกค้าอัปเดตแพตช์ล่าสุดเพื่อปิดช่องโหว่ ➡️ มีการเรียกร้องเงินสูงสุดถึง 50 ล้านดอลลาร์ในบางกรณี ➡️ อีเมลถูกส่งจากบัญชีที่เคยเกี่ยวข้องกับ Cl0p และปรากฏบนเว็บ data leak ของกลุ่ม ➡️ Google และ Mandiant ยังไม่สามารถยืนยันได้ว่าข้อมูลถูกขโมยจริง ✅ ข้อมูลเสริมจากภายนอก ➡️ Oracle E-Business Suite เป็นระบบ ERP ที่ใช้จัดการการเงิน, HR, CRM และซัพพลายเชน ➡️ Cl0p เคยโจมตี MOVEit Transfer ในปี 2023 ทำให้ข้อมูลรั่วไหลจากองค์กรกว่า 2,700 แห่ง ➡️ FIN11 เป็นกลุ่มที่ใช้ Cl0p ransomware และมีประวัติการโจมตีแบบ phishing และ credential abuse ➡️ การไม่มี MFA ในระบบ login ภายในองค์กรเป็นช่องโหว่ที่พบได้บ่อย ➡️ การรีเซ็ตรหัสผ่านผ่านหน้าเว็บที่เปิดสาธารณะเป็นจุดเสี่ยงสูง https://www.thestar.com.my/tech/tech-news/2025/10/03/oracle-says-hackers-are-trying-to-extort-its-customers

📰 สองวัยรุ่นอังกฤษถูกตั้งข้อหาแฮกระบบขนส่ง TfL — เครือข่าย Scattered Spider เบื้องหลังการโจมตีระดับชาติ ในเดือนกันยายน 2025 สองวัยรุ่นชาวอังกฤษถูกตั้งข้อหาเกี่ยวกับการโจมตีทางไซเบอร์ที่สร้างความเสียหายให้กับระบบขนส่งของกรุงลอนดอน (TfL) เมื่อปี 2024 โดยมีการเชื่อมโยงกับกลุ่มแฮกเกอร์ชื่อฉาว “Scattered Spider” ซึ่งเคยก่อเหตุโจมตีองค์กรใหญ่ทั้งในสหรัฐฯ และยุโรป ผู้ต้องหาคือ Thalha Jubair อายุ 19 ปี จาก East London และ Owen Flowers อายุ 18 ปี จาก Walsall ถูกจับกุมโดยหน่วยงาน National Crime Agency (NCA) และถูกนำตัวขึ้นศาล Westminster Magistrates’ Court โดยถูกกล่าวหาว่าร่วมกันละเมิดพระราชบัญญัติ Computer Misuse Act และสร้างความเสียหายต่อโครงสร้างพื้นฐานระดับชาติของสหราชอาณาจักร การโจมตีดังกล่าวไม่ได้หยุดการเดินรถไฟใต้ดิน แต่ส่งผลกระทบต่อระบบบริการต่าง ๆ เช่น การเข้าสู่ระบบบัตร Oyster, การชำระเงินแบบ contactless และแอปพลิเคชันของบุคคลที่สามที่เชื่อมต่อกับ API ของ TfL โดยมีข้อมูลส่วนตัวของผู้ใช้กว่า 5,000 รายรั่วไหล รวมถึงรายละเอียดบัญชีธนาคาร นอกจากนี้ Jubair ยังถูกตั้งข้อหาในสหรัฐฯ จากการมีส่วนร่วมในแผนการแฮกและเรียกค่าไถ่กว่า 120 ครั้งต่อองค์กรในสหรัฐฯ รวมถึงการฟอกเงินและปฏิเสธการให้รหัสผ่านกับเจ้าหน้าที่ ซึ่งละเมิดกฎหมาย Regulation of Investigatory Powers Act ของอังกฤษ Flowers ก็ถูกเชื่อมโยงกับการโจมตีเครือข่ายของ SSM Health และ Sutter Health ในสหรัฐฯ เช่นกัน โดยทั้งสองคนถูกมองว่าเป็นสมาชิกของ Scattered Spider ซึ่งเป็นกลุ่มแฮกเกอร์วัยรุ่นที่ใช้เทคนิค social engineering เช่น phishing และการโทรหลอกลวงเจ้าหน้าที่ IT เพื่อเข้าถึงระบบภายในองค์กร การจับกุมครั้งนี้เป็นส่วนหนึ่งของการสืบสวนที่ยาวนานและซับซ้อน โดย NCA ยืนยันว่าการดำเนินคดีเป็น “ผลประโยชน์สาธารณะ” และเป็นก้าวสำคัญในการจัดการกับภัยไซเบอร์ที่เพิ่มขึ้นในกลุ่มเยาวชนอังกฤษ ซึ่งจากรายงานพบว่า 1 ใน 5 เด็กอายุ 10–16 ปีเคยมีพฤติกรรมละเมิดกฎหมายไซเบอร์มาแล้ว https://hackread.com/two-uk-teenagers-charged-tfl-hack-scattered-spider/

🕵️‍♂️ “Volodymyr Tymoshchuk: แฮกเกอร์ยูเครนผู้ถูกล่าทั่วโลก — เบื้องหลัง LockerGoga และเครือข่ายอาชญากรรมไซเบอร์พันล้านดอลลาร์” Volodymyr Tymoshchuk ชายชาวยูเครนวัย 28 ปี ถูกระบุว่าเป็นผู้มีบทบาทสำคัญในการโจมตีไซเบอร์ครั้งใหญ่ที่สุดในยุโรปและสหรัฐฯ ด้วยมัลแวร์เรียกค่าไถ่ชื่อ LockerGoga, MegaCortex และ Nefilim ซึ่งสร้างความเสียหายรวมกว่า 18 พันล้านดอลลาร์ทั่วโลก2 ล่าสุดเขาถูกเพิ่มชื่อในบัญชี “EU Most Wanted” และกระทรวงยุติธรรมสหรัฐฯ (DOJ) ตั้งรางวัลนำจับสูงถึง 10 ล้านดอลลาร์ Tymoshchuk ใช้นามแฝงหลายชื่อ เช่น Deadforz, Boba, Farnetwork และ Volotmsk เพื่อหลบเลี่ยงการติดตาม เขาถูกกล่าวหาว่าเป็นผู้ประสานงานการเจาะระบบของบริษัทกว่า 250 แห่งในสหรัฐฯ และอีกหลายประเทศ โดยใช้มัลแวร์เพื่อเข้ารหัสข้อมูลและเรียกค่าไถ่ พร้อมขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายเงิน เครือข่ายของเขาถูกจัดว่าเป็นองค์กรอาชญากรรมไซเบอร์ที่มีโครงสร้างชัดเจน ตั้งแต่ผู้พัฒนามัลแวร์ ผู้เชี่ยวชาญด้านการเจาะระบบ ไปจนถึงผู้ฟอกเงินที่แปลงค่าไถ่ให้ใช้งานได้จริง หลายคนในเครือข่ายนี้ถูกจับในยูเครนแล้ว แต่ Tymoshchuk ยังหลบหนีอยู่ และถูกต้องหาตัวโดยหลายประเทศ รวมถึงฝรั่งเศสที่ตั้งข้อหาคอมพิวเตอร์, การกรรโชก และการร่วมองค์กรอาชญากรรม หนึ่งในเหยื่อที่ได้รับผลกระทบหนักคือบริษัท Norsk Hydro จากนอร์เวย์ ซึ่งถูกโจมตีในปี 2019 และต้องใช้เงินกว่า 70 ล้านดอลลาร์ในการฟื้นฟูระบบ การโจมตีเหล่านี้ไม่เพียงทำให้ระบบล่ม แต่ยังทำให้ธุรกิจต้องหยุดชะงักและสูญเสียความเชื่อมั่นจากลูกค้า Europol และหน่วยงานในหลายประเทศกำลังร่วมมือกันอย่างใกล้ชิดเพื่อจับกุมตัวเขา โดยเปิดช่องทางให้ประชาชนแจ้งเบาะแสผ่านเว็บไซต์ EU Most Wanted และให้การสนับสนุนด้านปฏิบัติการอย่างต่อเนื่อง ✅ ข้อมูลสำคัญจากข่าว ➡️ Volodymyr Tymoshchuk ถูกเพิ่มชื่อในบัญชี EU Most Wanted เมื่อ 9 ก.ย. 2025 ➡️ DOJ สหรัฐฯ ตั้งรางวัลนำจับสูงถึง 10 ล้านดอลลาร์ ➡️ เขาเป็นผู้ดูแลมัลแวร์ LockerGoga, MegaCortex และ Nefilim ➡️ เครือข่ายของเขาสร้างความเสียหายกว่า 18 พันล้านดอลลาร์ทั่วโลก ✅ รูปแบบการโจมตีและผลกระทบ ➡️ ใช้มัลแวร์เข้ารหัสข้อมูลและเรียกค่าไถ่จากบริษัทกว่า 250 แห่ง ➡️ ขู่เปิดเผยข้อมูลหากไม่จ่ายเงิน ➡️ เหยื่อรายใหญ่ เช่น Norsk Hydro สูญเงินกว่า 70 ล้านดอลลาร์ ➡️ เครือข่ายมีผู้พัฒนามัลแวร์, ผู้เจาะระบบ และผู้ฟอกเงิน ✅ ข้อมูลเสริมจากภายนอก ➡️ LockerGoga ถูกใช้โจมตีบริษัทอุตสาหกรรมและโครงสร้างพื้นฐาน ➡️ MegaCortex และ Nefilim เป็นมัลแวร์ที่เน้นการเจาะระบบองค์กรขนาดใหญ่ ➡️ Europol ใช้แพลตฟอร์ม EMPACT เพื่อประสานงานระหว่างประเทศ ➡️ การตั้งรางวัลนำจับระดับนี้สะท้อนความร้ายแรงของคดีในระดับโลก https://hackread.com/lockergoga-ransomware-eu-most-wanted-list-doj-reward/

🎭 “แฮกเกอร์ปลอมอัปเดต Chrome และคำเชิญประชุม Teams — แฝงเครื่องมือควบคุมระยะไกลเพื่อเจาะระบบองค์กร” งานวิจัยล่าสุดจาก Red Canary และ Zscaler เผยให้เห็นเทคนิคฟิชชิ่งยุคใหม่ที่ซับซ้อนและแนบเนียนกว่าที่เคย โดยแฮกเกอร์ไม่ใช้มัลแวร์ทั่วไป แต่หันมาใช้เครื่องมือควบคุมระยะไกล (Remote Monitoring and Management: RMM) เช่น ITarian, Atera, PDQ และ SimpleHelp ซึ่งปกติใช้โดยผู้ดูแลระบบ IT เพื่อดูแลเครื่องในองค์กร แต่เมื่ออยู่ในมือของผู้ไม่หวังดี เครื่องมือเหล่านี้กลับกลายเป็นช่องทางเข้าถึงระดับแอดมินที่เปิดทางให้ติดตั้งมัลแวร์หรือเรียกค่าไถ่ได้ทันที แคมเปญฟิชชิ่งเหล่านี้ใช้ “เหยื่อ” ที่ดูน่าเชื่อถือ เช่น: หน้าอัปเดต Chrome ปลอมที่ฝัง JavaScript บนเว็บไซต์ที่ถูกแฮก เมื่อผู้ใช้คลิก “Update” จะดาวน์โหลดตัวติดตั้ง ITarian ที่ถูกเซ็นรับรองอย่างถูกต้อง คำเชิญประชุมปลอมจาก Microsoft Teams หรือ Zoom ที่แนบไฟล์ติดตั้ง Atera หรือ PDQ โดยใช้ชื่อไฟล์เหมือนของจริง เช่น “MicrosoftTeams.msi” การ์ดเชิญงานเลี้ยงหรือเอกสารภาษีปลอม เช่น W9 หรือแบบฟอร์ม IRS ที่แฝงตัวติดตั้ง RMM ผ่าน Cloudflare R2 ซึ่งเป็นแพลตฟอร์มที่ดูน่าเชื่อถือ ในบางกรณี แฮกเกอร์ติดตั้ง RMM สองตัวพร้อมกันเพื่อสร้างช่องทางสำรองหากช่องทางแรกถูกปิดกั้น ทำให้การตรวจจับและป้องกันยิ่งยากขึ้น ผู้เชี่ยวชาญเตือนว่า การฟิชชิ่งในยุคนี้ไม่ใช่แค่เรื่องอีเมลที่พิมพ์ผิดหรือดูแปลกตาอีกต่อไป แต่เป็นการใช้ “ล่อ” ที่ดูเหมือนจริงทุกประการ และแม้การให้ความรู้กับพนักงานจะช่วยได้บ้าง แต่สิ่งสำคัญคือการมีระบบป้องกันหลายชั้น เช่น การตรวจจับที่ปลายทาง (EDR), การควบคุมเครื่องมือที่อนุญาตให้ใช้ และการตรวจสอบโดเมนใหม่ที่น่าสงสัย https://hackread.com/hackers-rmm-installs-fake-chrome-updates-teams-invite/

🧨 “เมื่อ AI กลายเป็นผู้ช่วยของแฮกเกอร์ — 80% ของแรนซัมแวร์ในปี 2025 ใช้ AI สร้างมัลแวร์ ปลอมเสียง และเจาะระบบแบบไร้รอย” ภัยไซเบอร์ในปี 2025 ไม่ได้มาในรูปแบบเดิมอีกต่อไป เพราะตอนนี้แฮกเกอร์ใช้ AI เป็นเครื่องมือหลักในการสร้างแรนซัมแวร์ที่ทั้งฉลาดและอันตรายกว่าเดิม จากการศึกษาของ MIT Sloan และ Safe Security พบว่า 80% ของการโจมตีด้วยแรนซัมแวร์ในช่วงปีที่ผ่านมา มีการใช้ AI เข้ามาเกี่ยวข้อง ไม่ว่าจะเป็นการสร้างมัลแวร์อัตโนมัติ, ปลอมเสียงด้วย deepfake, หรือแม้แต่การเจาะระบบผ่าน CAPTCHA และรหัสผ่านด้วย LLM AI ไม่ได้แค่ช่วยให้แฮกเกอร์ทำงานเร็วขึ้น แต่ยังทำให้การโจมตีมีความแม่นยำและยากต่อการตรวจจับมากขึ้น เช่น การปลอมตัวเป็นฝ่ายบริการลูกค้าด้วยเสียงที่เหมือนจริง หรือการสร้างอีเมลฟิชชิ่งที่ดูน่าเชื่อถือจนแม้แต่ผู้เชี่ยวชาญยังหลงกล Michael Siegel นักวิจัยจาก CAMS เตือนว่า “ผู้โจมตีต้องการแค่ช่องโหว่เดียว แต่ผู้ป้องกันต้องปิดทุกช่องทาง” ซึ่งกลายเป็นความท้าทายที่รุนแรงขึ้นเมื่อ AI ทำให้การโจมตีขยายตัวได้ในระดับที่มนุษย์ตามไม่ทัน เพื่อรับมือกับภัยคุกคามนี้ นักวิจัยเสนอแนวทางป้องกันแบบ 3 เสาหลัก ได้แก่ 1️⃣ ระบบ hygiene อัตโนมัติ เช่น โค้ดที่ซ่อมตัวเอง, ระบบ patch อัตโนมัติ และการตรวจสอบพื้นผิวการโจมตีแบบต่อเนื่อง 2️⃣ ระบบป้องกันแบบหลอกล่อและอัตโนมัติ เช่น การเปลี่ยนเป้าหมายตลอดเวลา และการใช้ข้อมูลปลอมเพื่อหลอกแฮกเกอร์ 3️⃣ การรายงานและ oversight แบบ real-time เพื่อให้ผู้บริหารเห็นภาพรวมของภัยคุกคามและตัดสินใจได้ทันเวลา ✅ สถานการณ์ภัยไซเบอร์ในปี 2025 ➡️ 80% ของแรนซัมแวร์ใช้ AI ในการสร้างมัลแวร์ ฟิชชิ่ง และ deepfake ➡️ ใช้ LLM ในการเจาะรหัสผ่าน, bypass CAPTCHA และเขียนโค้ดอัตโนมัติ ➡️ ปลอมเสียงเป็นฝ่ายบริการลูกค้าเพื่อหลอกเหยื่อผ่านโทรศัพท์ ➡️ AI ทำให้การโจมตีขยายตัวเร็วและแม่นยำกว่าที่เคย ✅ แนวทางป้องกันที่แนะนำ ➡️ เสาหลักที่ 1: ระบบ hygiene อัตโนมัติ เช่น self-healing code และ zero-trust architecture ➡️ เสาหลักที่ 2: ระบบป้องกันแบบหลอกล่อ เช่น moving-target defense และข้อมูลปลอม ➡️ เสาหลักที่ 3: การ oversight แบบ real-time เพื่อให้ผู้บริหารตัดสินใจได้ทัน ➡️ ต้องใช้หลายชั้นร่วมกัน ไม่ใช่แค่เครื่องมือ AI ฝั่งป้องกันอย่างเดียว ✅ ข้อมูลเสริมจากภายนอก ➡️ Deepfake phishing หรือ “vishing” เพิ่มขึ้น 1,633% ใน Q1 ปี 2025 ➡️ การโจมตีแบบ adversary-in-the-middle เพิ่มขึ้น — ขโมย session cookie เพื่อข้าม 2FA ➡️ การโจมตีระบบ OT (Operational Technology) เช่นโรงงานและโครงสร้างพื้นฐานเพิ่มขึ้น ➡️ จำนวนการโจมตี ransomware เพิ่มขึ้น 132% แม้ยอดจ่ายค่าไถ่จะลดลง https://www.techradar.com/pro/security/only-20-of-ransomware-is-not-powered-by-ai-but-expect-that-number-to-drop-even-further-in-2025

🕵️‍♂️ “สหรัฐฯ ตั้งค่าหัว $11 ล้าน ล่าตัวแฮกเกอร์ยูเครน Volodymyr Tymoshchuk — ผู้อยู่เบื้องหลังการโจมตีไซเบอร์มูลค่า $18 พันล้านทั่วโลก” Volodymyr Tymoshchuk ชายชาวยูเครนวัย 28 ปี กลายเป็นเป้าหมายอันดับต้น ๆ ของหน่วยงานความมั่นคงไซเบอร์ทั่วโลก หลังจากถูกกล่าวหาว่าเป็นหัวหน้าทีมแฮกเกอร์ที่อยู่เบื้องหลังการโจมตีด้วย ransomware ชุดใหญ่ ได้แก่ MegaCortex, LockerGoga และ Nefilim ซึ่งสร้างความเสียหายให้กับบริษัทกว่า 250 แห่งในสหรัฐฯ และอีกหลายร้อยแห่งทั่วโลก รวมมูลค่าความเสียหายกว่า $18 พันล้าน หนึ่งในเหตุการณ์ที่โด่งดังที่สุดคือการโจมตีบริษัทพลังงานหมุนเวียน Norsk Hydro ในปี 2019 ซึ่งทำให้ระบบของบริษัทกว่า 170 แห่งทั่วโลกหยุดชะงัก และสร้างความเสียหายกว่า $81 ล้าน. Tymoshchuk ถูกกล่าวหาว่าใช้เครื่องมือเจาะระบบอย่าง Metasploit และ Cobalt Strike เพื่อแฝงตัวในเครือข่ายของเหยื่อเป็นเวลาหลายเดือนก่อนปล่อย ransomware หลังจาก LockerGoga และ MegaCortex ถูกถอดรหัสโดยหน่วยงานความมั่นคง Tymoshchuk ก็หันไปพัฒนา Nefilim ซึ่งเน้นโจมตีบริษัทที่มีมูลค่ามากกว่า $100 ล้าน โดยขายสิทธิ์การเข้าถึงให้กับแฮกเกอร์รายอื่น แลกกับส่วนแบ่ง 20% จากเงินค่าไถ่ที่ได้รับ ล่าสุด กระทรวงยุติธรรมสหรัฐฯ ได้ตั้งค่าหัว $11 ล้าน สำหรับข้อมูลที่นำไปสู่การจับกุม Tymoshchuk และเปิดเผยรายชื่อเหยื่อบางส่วนในคำฟ้องที่ถูกเปิดเผยเมื่อวันที่ 9 กันยายน 2025 โดยเขาถูกตั้งข้อหาทั้งหมด 7 กระทง รวมถึงการทำลายข้อมูลโดยเจตนา การเข้าถึงระบบโดยไม่ได้รับอนุญาต และการข่มขู่เปิดเผยข้อมูลส่วนตัว ✅ ข้อมูลจากข่าวการตั้งค่าหัว ➡️ สหรัฐฯ ตั้งค่าหัว $11 ล้าน สำหรับข้อมูลนำไปสู่การจับกุม Tymoshchuk ➡️ ถูกกล่าวหาว่าอยู่เบื้องหลัง ransomware MegaCortex, LockerGoga และ Nefilim ➡️ สร้างความเสียหายรวมกว่า $18 พันล้านทั่วโลก ➡️ หน่วยงานที่ร่วมมือ ได้แก่ FBI, DOJ, Europol และรัฐบาลฝรั่งเศส, เยอรมนี, นอร์เวย์ ✅ รายละเอียดการโจมตี ➡️ MegaCortex เปลี่ยนรหัสผ่าน Windows และเข้ารหัสไฟล์ของเหยื่อ ➡️ LockerGoga โจมตี Norsk Hydro ทำให้ระบบกว่า 170 แห่งหยุดชะงัก ➡️ Nefilim เน้นโจมตีบริษัทมูลค่ามากกว่า $100 ล้าน และขายสิทธิ์ให้แฮกเกอร์อื่น ➡️ ใช้เครื่องมือเจาะระบบ เช่น Metasploit และ Cobalt Strike เพื่อแฝงตัวในเครือข่าย ✅ ข้อมูลเสริมจากภายนอก ➡️ Tymoshchuk ใช้นามแฝงหลายชื่อ เช่น “deadforz”, “Boba”, “msfv”, “farnetwork” ➡️ Europol จัดให้เขาอยู่ในรายชื่อ “Most Wanted” ของยุโรป ➡️ การโจมตีบางครั้งทำให้บริษัทต้องจ่ายค่าไถ่เกิน $1 ล้านต่อครั้ง ➡️ คำฟ้องระบุว่าเขาอาจถูกลงโทษสูงสุดถึงจำคุกตลอดชีวิต หากถูกจับและตัดสินว่าผิด ‼️ คำเตือนและข้อจำกัด ⛔ Tymoshchuk ยังไม่ถูกจับ — ยังคงหลบหนีและอาจมีการโจมตีเพิ่มเติม ⛔ การโจมตีแบบแฝงตัวหลายเดือนทำให้ตรวจจับได้ยาก ⛔ บริษัทที่ถูกโจมตีมักไม่มีทางเลือกอื่นนอกจากจ่ายค่าไถ่ ⛔ การใช้เครื่องมือเจาะระบบที่ถูกต้องตามกฎหมายในทางผิด ทำให้การป้องกันซับซ้อน ⛔ การเปิดเผยข้อมูลส่วนตัวของเหยื่อเป็นภัยร้ายแรงต่อความมั่นคงองค์กร https://www.tomshardware.com/tech-industry/cyber-security/u-s-places-usd11-million-bounty-on-ukrainian-ransomware-mastermind-tymoshchuk-allegedly-stole-usd18-billion-from-large-companies-over-3-years

🎙️ เรื่องเล่าจาก Ransomware 3.0: เมื่อมัลแวร์ไม่ต้องเขียนโค้ดล่วงหน้า แค่สั่ง AI ให้แต่งสดตามสถานการณ์ ในเดือนกันยายน 2025 นักวิจัยจาก NYU Tandon School of Engineering เปิดเผยว่า “PromptLocker” ซึ่งถูกบริษัท ESET เข้าใจผิดว่าเป็นมัลแวร์จริงในโลกไซเบอร์นั้น แท้จริงคือโค้ดทดลองในโครงการวิจัยชื่อ “Ransomware 3.0” ที่พัฒนาขึ้นเพื่อศึกษาความสามารถของ AI ในการสร้างมัลแวร์แบบอัตโนมัติ PromptLocker ใช้ Lua script ที่ถูกสร้างจาก prompt แบบ hard-coded เพื่อสแกนไฟล์ในเครื่อง, เลือกเป้าหมาย, ขโมยข้อมูล, และเข้ารหัสไฟล์—ครบทุกขั้นตอนของ ransomware โดยไม่ต้องมีโค้ดล่วงหน้า นักวิจัยใช้ LLM (Large Language Model) แบบโอเพ่นซอร์สเพื่อแต่งโค้ดตามคำสั่งที่ฝังไว้ใน binary และให้ AI ตัดสินใจเองว่าจะโจมตีอย่างไร สิ่งที่น่ากังวลคือ ความสามารถของระบบนี้ในการทำงานแบบ “ปิดวงจร” โดยไม่ต้องมีมนุษย์คอยควบคุม และสามารถปรับเปลี่ยนพฤติกรรมตามสภาพแวดล้อมได้แบบ polymorphic—ทำให้การตรวจจับยากขึ้นมาก ต้นทุนของการโจมตีหนึ่งครั้งอยู่ที่ประมาณ 23,000 token หรือราว $0.70 หากใช้ API เชิงพาณิชย์ แต่ถ้าใช้โมเดลโอเพ่นซอร์ส ต้นทุนจะเป็นศูนย์ นักวิจัยเตือนว่า “ผลตอบแทนของแฮกเกอร์จะสูงกว่าคนลงทุนใน AI เสียอีก” หากไม่มีมาตรการควบคุมที่เหมาะสม แม้จะเป็นแค่การทดลองในห้องแล็บ แต่ PromptLocker ทำงานได้จริง และสามารถหลอกนักวิจัยด้านความปลอดภัยให้เชื่อว่าเป็นมัลแวร์ในโลกจริงได้—สะท้อนถึงความซับซ้อนของภัยคุกคามที่อาจเกิดขึ้นในอนาคต ✅ จุดกำเนิดของ PromptLocker ➡️ เป็นโค้ดทดลองจาก NYU Tandon School of Engineering ➡️ ถูกเข้าใจผิดโดย ESET ว่าเป็นมัลแวร์จริงในโลกไซเบอร์ ➡️ ใช้ชื่อในงานวิจัยว่า “Ransomware 3.0” ✅ วิธีการทำงานของระบบ ➡️ ใช้ Lua script ที่สร้างจาก prompt เพื่อควบคุมการโจมตี ➡️ ทำงานครบทุกขั้นตอน: สแกน, ขโมย, เข้ารหัส, สร้างโน้ตร้องค่าไถ่ ➡️ ใช้ LLM แบบโอเพ่นซอร์สในการแต่งโค้ดตามสถานการณ์ ✅ ความสามารถของระบบ ➡️ ทำงานแบบปิดวงจรโดยไม่ต้องมีมนุษย์ควบคุม ➡️ สร้างโค้ดแบบ polymorphic ที่ปรับเปลี่ยนตามสภาพแวดล้อม ➡️ สามารถหลอกนักวิจัยให้เชื่อว่าเป็นมัลแวร์จริงได้ ✅ ต้นทุนและผลกระทบ ➡️ ใช้ประมาณ 23,000 token ต่อการโจมตีหนึ่งครั้ง (~$0.70) ➡️ หากใช้โมเดลโอเพ่นซอร์ส ต้นทุนจะเป็นศูนย์ ➡️ นักวิจัยเตือนว่าแฮกเกอร์อาจได้ผลตอบแทนสูงกว่าผู้ลงทุนใน AI https://www.tomshardware.com/tech-industry/cyber-security/ai-powered-promptlocker-ransomware-is-just-an-nyu-research-project-the-code-worked-as-a-typical-ransomware-selecting-targets-exfiltrating-selected-data-and-encrypting-volumes