217/69 (IT) ประจำวันพุธที่ 22 เมษายน 2569
กลุ่มแรนซัมแวร์ “The Gentlemen” (Ransomware-as-a-Service หรือ RaaS) ซึ่งเริ่มปรากฏตัวในช่วงกลางปี 2025 กำลังยกระดับการโจมตีสู่ระดับสากลอย่างรวดเร็ว โดยล่าสุดนักวิจัยจาก Check Point Research ตรวจพบการใช้มัลแวร์ SystemBC ซึ่งเป็นเครือข่ายบอทเน็ตที่มีเครื่องที่ติดเชื้อมากกว่า 1,570 แห่งทั่วโลก ความน่ากลัวของบอทเน็ตชุดนี้คือการมุ่งเป้าไปที่สภาพแวดล้อมเครือข่ายขององค์กรธุรกิจและหน่วยงานสำคัญในสหรัฐฯ ยุโรป และออสเตรเลีย แทนที่จะเป็นการสุ่มโจมตีผู้ใช้งานทั่วไป ข้อมูลสถิติชี้ให้เห็นว่ากลุ่มอาชญากรไซเบอร์นี้กำลังพัฒนาโครงสร้างพื้นฐานให้มีความซับซ้อนและมีประสิทธิภาพในการเข้าถึงเป้าหมายได้กว้างขวางยิ่งขึ้น โดยล่าสุดมีรายงานว่าองค์กรด้านพลังงานรายใหญ่ในโรมาเนียและบริษัทเทคโนโลยีชั้นนำหลายแห่งตกเป็นเหยื่อไปเรียบร้อยแล้ว
รูปแบบการทำงานของ The Gentlemen มีความยืดหยุ่นสูง โดยมีซอฟต์แวร์เข้ารหัสไฟล์ที่พัฒนาด้วยภาษา Go สำหรับโจมตีระบบ Windows, Linux และ NAS รวมถึงเวอร์ชันภาษา C ที่ออกแบบมาเพื่อเจาะระบบ ESXi Hypervisor โดยเฉพาะ จากข้อมูล Attack Chain พบว่าคนแฮกเกอร์มักเริ่มจากการยึดสิทธิ์ผู้ดูแลระบบสูงสุด (Domain Admin) ในส่วนของ Domain Controller จากนั้นจะใช้เครื่องมืออย่าง Cobalt Strike ในการฝังตัวและขยายผลไปทั่วเครือข่าย (Lateral Movement) ก่อนจะใช้ Group Policy (GPO) เพื่อสั่งรันแรนซัมแวร์ให้ทำงานพร้อมกันทั่วทั้งองค์กร นอกจากนี้ยังใช้วิธีการเข้ารหัสไฟล์แบบไฮบริดที่เน้นความรวดเร็ว โดยในไฟล์ขนาดใหญ่จะสุ่มเข้ารหัสเพียงบางส่วน (ประมาณ 1-9%) เพื่อให้การทำลายข้อมูลเสร็จสิ้นโดยเร็วที่สุดก่อนที่ระบบป้องกันจะตรวจพบ
นอกจากการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่แล้ว กลุ่มนี้ยังใช้วิธี ขู่กรรโชกทรัพย์สองชั้น (Double Extortion) ด้วยการขโมยข้อมูลสำคัญออกไปและขู่ว่าจะเปิดเผยสู่สาธารณะผ่านทางเว็บไซต์ Leak Site บนเครือข่าย Tor หากไม่ได้รับเงินค่าไถ่ภายในเวลาที่กำหนด ซึ่งส่งผลกระทบอย่างรุนแรงทั้งในด้านกฎหมายการคุ้มครองข้อมูลส่วนบุคคลและชื่อเสียงขององค์กร ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์เตือนว่าการที่กลุ่ม The Gentlemen เริ่มบูรณาการเครื่องมือระดับสูงอย่าง SystemBC เข้ามา บ่งชี้ถึงการเติบโตสู่เครือข่ายอาชญากรรมไซเบอร์ระดับมืออาชีพ องค์กรต่าง ๆ จึงควรยกระดับการเฝ้าระวังในส่วนของ Domain Controller และหมั่นตรวจสอบความผิดปกติของทราฟฟิกในเครือข่ายที่อาจเชื่อมโยงกับ Proxy หรือ C2 Server เพื่อเป็นการป้องกันภัยคุกคามที่จะอาจจะเกิดขึ้น