220/68 (IT) ประจำวันพุธที่ 18 มิถุนายน 2568
บริษัท Trend Micro เผยรายงานการค้นพบแรนซัมแวร์ตัวใหม่ชื่อว่า “Anubis” ซึ่งมาพร้อมความสามารถพิเศษที่น่ากังวลคือการเข้ารหัสไฟล์พร้อมฟังก์ชัน “wipe mode” ที่สามารถลบเนื้อหาของไฟล์ออกได้ถาวร ทำให้ไม่สามารถกู้คืนข้อมูลได้แม้จะชำระค่าไถ่แล้ว ซึ่งจัดเป็นภัยคุกคามแบบ “สองชั้น” ที่พบได้น้อย โดยกลุ่มผู้อยู่เบื้องหลังดำเนินรูปแบบ Ransomware-as-a-Service (RaaS) ตั้งแต่เดือนธันวาคม 2024 และมีเหยื่อในหลายอุตสาหกรรม เช่น ภาคสาธารณสุข การท่องเที่ยว และการก่อสร้าง ในประเทศออสเตรเลีย แคนาดา เปรู และสหรัฐอเมริกา ทั้งนี้ ตัวอย่างรุ่นเริ่มต้นของแรนซัมแวร์ดังกล่าวเคยใช้ชื่อว่า “Sphinx” ก่อนจะปรับเปลี่ยนมาใช้ชื่อ “Anubis” ในเวอร์ชันถัดมา
ทาง Trend Micro ยืนยันว่า Anubis ไม่มีความเกี่ยวข้องกับโทรจันบน Android หรือ backdoor ที่พัฒนาโดยกลุ่ม FIN7 (GrayAlpha) ซึ่งใช้ชื่อเดียวกันในอดีต กลุ่มผู้พัฒนา Anubis เปิดให้บุคคลทั่วไปเข้าร่วมในฐานะ affiliate โดยแบ่งรายได้สูงสุดถึง 80% ของเงินค่าไถ่ และยังรองรับโมเดลรายได้อื่น เช่น การแบล็กเมล์ข้อมูล (data extortion) และการขายสิทธิ์เข้าถึงระบบองค์กร (access monetization) โดยแรนซัมแวร์ตัวนี้ใช้ ฟิชชิงอีเมลเป็นช่องทางหลักในการเริ่มต้นโจมตี ก่อนจะยกระดับสิทธิ์ในระบบ ดำเนินการลบ Volume Shadow Copy และเข้ารหัสไฟล์ข้อมูล
หนึ่งในจุดเด่นที่อันตรายคือ /WIPEMODE ซึ่งเป็นโหมดทำลายข้อมูลอย่างสมบูรณ์ โดยจะลบเนื้อหาในไฟล์จนเหลือขนาด 0 KB ขณะยังคงชื่อไฟล์ไว้ ทำให้ผู้ใช้เข้าใจผิดว่าข้อมูลยังคงอยู่ ซึ่งนอกจากจะทำให้ไม่สามารถกู้คืนได้แล้ว ยังเป็นการกดดันให้เหยื่อตัดสินใจจ่ายค่าไถ่รวดเร็วขึ้น ปัจจุบันยังพบพฤติกรรมที่เกี่ยวข้องกับกลุ่ม FIN7 ซึ่งใช้โครงสร้างพื้นฐานปลอม เช่น หน้าอัปเดตเบราว์เซอร์และเว็บไซต์ดาวน์โหลด 7-Zip ปลอม เพื่อเผยแพร่ NetSupport RAT ผ่านตัวโหลดที่เรียกว่า MaskBat และ PowerNet โดยพบว่ายังคงมีการใช้งานจนถึงช่วงเดือนเมษายน 2025
แหล่งข่าว https://thehackernews.com/2025/06/anubis-ransomware-encrypts-and-wipes.html
