223/69 (IT) ประจำวันศุกร์ที่ 24 เมษายน 2569
พบการโจมตีของมัลแวร์เรียกค่าไถ่กลุ่มใหม่ในชื่อ Kyber (ไคเบอร์) ซึ่งมุ่งเป้าโจมตีระบบโครงสร้างพื้นฐานสำคัญขององค์กร โดยเฉพาะเซิร์ฟเวอร์ที่รันบนระบบปฏิบัติการ Windows และ VMware ESXi ล่าสุดมีการยืนยันว่าบริษัทผู้รับเหมาด้านกลาโหมและบริการไอทีรายใหญ่ในสหรัฐฯ ได้ตกเป็นเหยื่อแล้ว โดยกลุ่มแฮกเกอร์ใช้วิธีการกดดันเหยื่อผ่านเว็บไซต์ Wall of Wonders บนเครือข่าย Tor เพื่อขู่กรรโชกและเปิดเผยข้อมูลลับที่โจรกรรมมา หากไม่ได้รับเงินค่าไถ่ตามที่กำหนด
ความโดดเด่นทางเทคนิคของ Kyber คือการอ้างถึงการใช้มาตรฐานการเข้ารหัส Kyber1024 ซึ่งเป็นอัลกอริทึมที่ทนทานต่อการถอดรหัสด้วยคอมพิวเตอร์ควอนตัม (Post-Quantum Cryptography) โดยจากการตรวจสอบของ Rapid7 พบว่าในเวอร์ชัน Windows ที่เขียนด้วยภาษา Rust มีการนำเทคโนโลยีนี้มาใช้ร่วมกับ X25519 เพื่อปกป้องกุญแจรหัสลับจริง ๆ แต่ในเวอร์ชันสำหรับ Linux ESXi กลับพบว่าเป็นการโฆษณาเกินจริง เนื่องจากยังคงใช้มาตรฐานเดิมอย่าง RSA-4096 และ ChaCha8 ในการเข้ารหัสไฟล์ นอกจากนี้ ตัวมัลแวร์ยังมีฟีเจอร์ ทดลอง ที่สามารถสั่งปิดเครื่องเสมือน (VM) บนระบบ Hyper-V ได้โดยตรง เพื่อเพิ่มประสิทธิภาพในการเข้าถึงและล็อกไฟล์สำคัญพร้อมกันทั้งเครือข่าย
ในแง่ของผลกระทบต่อระบบ Kyber ถูกออกแบบมาให้ตัดช่องทางการกู้คืนข้อมูลของเหยื่ออย่างเบ็ดเสร็จ ตั้งแต่การลบ Shadow Copies, ปิดระบบซ่อมแซมการบูต, ยุติการทำงานของฐานข้อมูล SQL และ Exchange ไปจนถึงการล้าง Event Logs และถังขยะในเครื่องเพื่อทำลายหลักฐาน แม้การนำเทคโนโลยี Post-Quantum มาใช้จะเป็นการยกระดับทางเทคนิคที่น่าสนใจในวงการไซเบอร์ แต่สำหรับเหยื่อแล้ว ผลลัพธ์ยังคงเดิมคือไฟล์จะไม่สามารถกู้คืนได้หากไม่มีกุญแจถอดรหัสจากผู้ไม่หวังดี ดังนั้น การสำรองข้อมูลแบบออฟไลน์และการป้องกันเชิงรุกจึงยังคงเป็นหัวใจสำคัญที่องค์กรไม่ควรละเลยในยุคที่ภัยคุกคามมีการวิวัฒนาการอย่างรวดเร็วเช่นนี้