115/69 (IT) ประจำวันพฤหัสบดีที่ 26 กุมภาพันธ์ 2569
รายงานล่าสุดจากทีมล่าภัยคุกคาม Symantec และ Carbon Black พบความเคลื่อนไหวที่น่ากังวลของ Lazarus Group กลุ่มแฮกเกอร์ระดับรัฐ (State-sponsored) ที่เริ่มปรับกลยุทธ์จากการจารกรรมข้อมูลมาเป็นการแสวงหาผลกำไรทางการเงินอย่างเต็มตัว โดยการใช้มัลแวร์เรียกค่าไถ่ Medusa เข้าโจมตีเป้าหมายในกลุ่มสาธารณสุขและบริการสังคมทั่วโลก การร่วมมือกับเครือข่ายอาชญากรรมไซเบอร์ในรูปแบบ Ransomware-as-a-Service (RaaS) นี้ ช่วยให้ Lazarus สามารถพรางตัวภายใต้คราบของแก๊งอาชญากรทั่วไป ทำให้การสืบสวนหาต้นตอและการป้องกันโดยเจ้าหน้าที่บังคับใช้กฎหมายทำได้ยากลำบากยิ่งขึ้น
กระบวนการโจมตีของ Lazarus ถูกวางแผนอย่างเป็นระบบหลายขั้นตอน โดยมัลแวร์ Medusa จะถูกปล่อยออกมาในขั้นตอนสุดท้ายหลังจากที่เครือข่ายถูกควบคุมอย่างเบ็ดเสร็จแล้ว เริ่มจากการใช้เครื่องมือพิเศษเข้าไปทำลายระบบป้องกันความปลอดภัย จากนั้นจึงติดตั้ง Backdoor เช่น Blindingcan เพื่อฝังตัวในระยะยาว พร้อมใช้เครื่องมือขโมยรหัสผ่านและสแกนข้อมูลที่สำคัญเพื่อส่งออกไปยังเซิร์ฟเวอร์ของตนเอง ข้อมูลจากเว็บไซต์ Medusa Blog แสดงให้เห็นถึงรายชื่อเหยื่อจำนวนมากที่ถูกนำข้อมูลมาประกาศขายหรือเรียกค่าไถ่ โดยมีตั้งแต่บริษัทขนส่งไปจนถึงหน่วยงานท้องถิ่น ซึ่งมีมูลค่าการเรียกค่าไถ่ตั้งแต่หลักแสนไปจนถึงหลักล้านดอลลาร์สหรัฐฯ
สิ่งที่น่าเป็นกังวลที่สุดคือ เป้าหมายของการโจมตีที่มุ่งเน้นไปยังองค์กรที่ให้บริการทางสังคมที่เปราะบาง เช่น ศูนย์สุขภาพจิตและโรงเรียนสำหรับเด็กพิเศษ ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระบุว่านี่คือกลยุทธ์ที่โหดเหี้ยมในการใช้ “แรงกดดันทางอารมณ์” เพื่อบีบให้เหยื่อยอมจ่ายค่าไถ่โดยเร็วที่สุด โดยมักเรียกเงินเฉลี่ยประมาณ 260,000 ดอลลาร์ ซึ่งเป็นตัวเลขที่องค์กรขนาดเล็กอาจพอจ่ายไหว เพื่อแลกกับการให้ระบบกลับมาทำงานต่อ ปรากฏการณ์นี้เป็นสัญญาณเตือนว่าองค์กรขนาดเล็กที่เคยคิดว่าตนเองไม่ใช่เป้าหมายของแฮกเกอร์ระดับโลก จำเป็นต้องเร่งยกระดับการป้องกันข้อมูล เพราะในปัจจุบันพรมแดนระหว่างการจารกรรมระดับรัฐและการขู่กรรโชกทรัพย์ได้เลือนหายไปแล้ว
แหล่งข่าว https://hackread.com/north-korean-lazarus-group-medusa-ransomware/
