539/68 (IT) ประจำวันจันทร์ที่ 22 ธันวาคม 2568
RansomHouse กลุ่มโจมตีเรียกค่าไถ่ที่ให้บริการเครื่องมือ (Ransomware-as-a-Service: RaaS) ถูกพบว่าปรับปรุงตัวเข้ารหัสไฟล์เวอร์ชันใหม่ จากการเข้ารหัสแบบขั้นตอนเดียวเป็นกระบวนการหลายชั้นที่ซับซ้อนขึ้น โดยใช้กุญแจเข้ารหัส 2 ชุด กุญแจหลัก 32 ไบต์ และกุญแจรอง 8 ไบต์ เพิ่มความซับซ้อนของการเข้ารหัส ลดโอกาสในการกู้คืนข้อมูล และช่วยให้การเข้ารหัสทำงานได้รวดเร็วและเสถียรมากขึ้นบนสภาพแวดล้อมระบบสมัยใหม่
เวอร์ชันใหม่ถูกเรียกว่า “Mario” มีการปรับกลยุทธ์จัดการไฟล์ โดยแบ่งประมวลผลไฟล์เป็นช่วง ๆ ด้วยขนาดข้อมูลแบบไดนามิก สำหรับไฟล์ที่ขนาดใหญ่กว่า 8GB ผสานกับเทคนิคการเข้ารหัสแบบเว้นช่วง (Intermittent Encryption) ส่งผลให้การตรวจสอบและวิเคราะห์โค้ดจากโปรแกรมโดยตรงทำได้ยากขึ้น เนื่องจากลำดับการประมวลผลไม่เป็นเส้นตรง ใช้การคำนวณที่ซับซ้อน และเลือกวิธีเข้ารหัสแตกต่างกันตามขนาดไฟล์ อีกทั้งยังมีการจัดการหน่วยความจำและพื้นที่เก็บข้อมูลชั่วคราวที่ซับซ้อนมากขึ้นในแต่ละขั้นตอนของการเข้ารหัส
ตัวเข้ารหัสเวอร์ชันล่าสุดมุ่งเป้าไปที่ไฟล์ของระบบเสมือน โดยเฉพาะไฟล์ VM พร้อมเปลี่ยนชื่อต่อท้ายไฟล์ที่ถูกเข้ารหัสเป็น .emario และทิ้งไฟล์โน้ต “How To Restore Your Files.txt” ไว้ในทุกโฟลเดอร์ที่ได้รับผลกระทบ นักวิจัยเตือนการอัปเกรดครั้งนี้สะท้อนแนวโน้มที่น่ากังวลของพัฒนาการด้าน Ransomware ที่มุ่งทำให้การถอดรหัสและการวิเคราะห์ย้อนกลับทำได้ยากยิ่งขึ้น บ่งชี้ว่ากลุ่มผู้โจมตีให้ความสำคัญกับการเพิ่มประสิทธิภาพและการหลบเลี่ยงการตรวจจับ มากกว่าเพิ่มจำนวนการโจมตีเพียงอย่างเดียว