230/69 (IT) ประจำวันอังคารที่ 28 เมษายน 2569
นักวิจัยจาก Symantec เปิดเผยว่า กลุ่มแรนซัมแวร์ Trigona ransomware ได้ปรับเปลี่ยนเทคนิคการโจมตี โดยใช้เครื่องมือบรรทัดคำสั่งที่พัฒนาขึ้นเองสำหรับขโมยข้อมูล แทนการใช้เครื่องมืออย่าง Rclone หรือ MegaSync ซึ่งมักถูกระบบความปลอดภัยตรวจจับได้ง่าย แนวโน้มดังกล่าวพบในเหตุการณ์โจมตีช่วงเดือนมีนาคม 2026 และแสดงถึงความพยายามของผู้โจมตีในการเพิ่มความซับซ้อนและหลีกเลี่ยงการตรวจจับ โดย Trigona เป็นกลุ่ม Ransomware-as-a-Service (RaaS) ที่มีความเชื่อมโยงกับกลุ่มอาชญากรรมไซเบอร์ Rhantus และมีการเคลื่อนไหวมาตั้งแต่ปลายปี 2022
เครื่องมือที่ถูกพัฒนาใหม่นี้มีชื่อว่า “uploader_client.exe” ถูกออกแบบมาเพื่อเร่งกระบวนการส่งข้อมูลออกจากระบบ (Data Exfiltration) โดยสามารถเปิดการเชื่อมต่อพร้อมกันหลายช่องทาง และสลับการเชื่อมต่อเป็นระยะเพื่อลดโอกาสการตรวจจับจากระบบเฝ้าระวังเครือข่าย นอกจากนี้ยังสามารถคัดเลือกไฟล์ที่มีมูลค่าสูง เช่น เอกสารหรือไฟล์ PDF เพื่อขโมยข้อมูลสำคัญได้อย่างมีประสิทธิภาพ โดยมีการใช้งานคีย์ยืนยันตัวตน (authentication key) เพื่อควบคุมการเข้าถึงข้อมูลที่ถูกขโมย
ก่อนดำเนินการขโมยข้อมูล ผู้โจมตีจะปิดการทำงานของระบบป้องกันด้วยเครื่องมือหลายชนิด เช่น HRSword, PCHunter และ GMER รวมถึงอาศัยช่องโหว่ในไดรเวอร์ระดับเคอร์เนลเพื่อยกระดับสิทธิ์ จากนั้นเข้าควบคุมระบบผ่านโปรแกรมรีโมต เช่น AnyDesk และใช้เครื่องมืออย่าง Mimikatz หรือ Nirsoft เพื่อดึงข้อมูลบัญชีผู้ใช้ ทั้งนี้ การพัฒนาเครื่องมือเฉพาะของตนเองช่วยเพิ่มความสามารถในการหลบเลี่ยงการตรวจจับ แม้ต้องใช้ทรัพยากรมากขึ้น แต่ถือเป็นแนวโน้มสำคัญของกลุ่มแรนซัมแวร์ยุคใหม่ที่มุ่งเพิ่มประสิทธิภาพและความแนบเนียนในการโจมตี