334/69 (IT) ประจำวันจันทร์ที่ 22 มิถุนายน 2569
บริษัท ESET ได้เผยแพร่รายงานการตรวจสอบโครงสร้างพื้นฐานของกลุ่มผู้ให้บริการแรนซัมแวร์ (Ransomware-as-a-Service) ที่ใช้ชื่อว่า The Gentlemen ซึ่งมีความเคลื่อนไหวอย่างต่อเนื่องตั้งแต่ช่วงปลายปี 2568 และมีผู้ตกเป็นเหยื่อแล้วกว่า 504 ราย โดยมีเป้าหมายหลักในภูมิภาคเอเชียตะวันออกเฉียงใต้ อเมริกาใต้ และยุโรปตะวันตก ความน่าสนใจของกลุ่มนี้ไม่ได้อยู่ที่ตัวมัลแวร์เรียกค่าไถ่เพียงอย่างเดียว แต่เป็นการที่ผู้ดูแลระบบได้พัฒนาและจัดเตรียมชุดเครื่องมือที่เรียกว่า GentleKiller ให้กับเครือข่ายผู้ร่วมโจมตี (Affiliates) เพื่อใช้สำหรับปิดการทำงานของระบบรักษาความปลอดภัยปลายทาง (EDR) บนเครื่องของเหยื่อก่อนทำการฝังแรนซัมแวร์
จากการวิเคราะห์ข้อมูลเชิงลึกพบว่าเครื่องมือ GentleKiller ใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) โดยการนำไดรเวอร์ที่มีช่องโหว่หรือไดรเวอร์อันตรายมาใช้เพื่อหลบเลี่ยงการตรวจจับ ปัจจุบันพบเครื่องมือนี้อย่างน้อย 8 รูปแบบ ที่ถูกปรับแต่งให้ปลอมแปลงเป็นซอฟต์แวร์ที่ถูกต้อง เช่น ซอฟต์แวร์ของ Kaspersky หรือระบบป้องกันการโกงของเกม โดยจากหลักฐานการทำงานแสดงให้เห็นถึงหน้าต่างคำสั่งที่ปลอมแปลงชื่อเป็นระบบของ Kaspersky ซึ่งทำการโหลดไดรเวอร์และเริ่มกระบวนการเฝ้าระวังโดยสแกนระบบทุก 2 วินาที เพื่อค้นหาและบังคับปิดการทำงาน (Process) ของระบบรักษาความปลอดภัย เช่น SecurityHealthService.exe โดยเครื่องมือชุดนี้สามารถไล่ล่ากระบวนการทำงานได้มากกว่า 400 รายการจากผลิตภัณฑ์รักษาความปลอดภัย 48 แบรนด์ชั้นนำ นอกจากนี้ กลุ่ม The Gentlemen ยังมีความรวดเร็วในการนำโค้ดสาธิตช่องโหว่ (PoC) ใหม่ ๆ มาปรับใช้ภายในไม่กี่วัน และมักเลือกเป้าหมายการโจมตีจากองค์กรที่มีการตั้งค่าอุปกรณ์ FortiGate ผิดพลาด เบื้องต้นมีรายงานยืนยันว่าผู้ก่อตั้งกลุ่มนี้เป็นอดีตสมาชิกกลุ่มแรนซัมแวร์ชาวรัสเซีย
เพื่อเป็นการรับมือกับภัยคุกคามลักษณะดังกล่าว ผู้ดูแลระบบและหน่วยงานที่เกี่ยวข้องควรเร่งดำเนินการตรวจสอบและปรับปรุงการตั้งค่าอุปกรณ์เครือข่าย โดยเฉพาะอุปกรณ์ FortiGate ให้มีความรัดกุมและเป็นไปตามแนวทางปฏิบัติที่ปลอดภัย นอกจากนี้ ข้อมูลรายชื่อกระบวนการทำงานที่ GentleKiller ใช้เป็นเป้าหมายโจมตีซึ่งได้รับการเปิดเผยสู่สาธารณะแล้ว สามารถนำมาประยุกต์ใช้ในการสร้างกฎเกณฑ์การเฝ้าระวังและการตรวจจับ (Detection Strategies) บนระบบรักษาความปลอดภัยขององค์กรได้ องค์กรควรเพิ่มการตรวจสอบพฤติกรรมการโหลดไดรเวอร์ระดับเคอร์เนลที่น่าสงสัย เฝ้าระวังการถูกบังคับปิดกระบวนการทำงานของระบบป้องกันอย่างผิดปกติ และหมั่นอัปเดตระบบปฏิบัติการรวมถึงซอฟต์แวร์รักษาความปลอดภัยให้เป็นเวอร์ชันล่าสุด เพื่อลดความเสี่ยงจากการถูกโจมตีด้วยเทคนิค BYOVD ในระยะยาว