283/69 (IT) ประจำวันอังคารที่ 26 พฤษภาคม 2569
กลุ่มผู้โจมตีด้วยแรนซัมแวร์ในปี 2026 กำลังปรับเปลี่ยนกลยุทธ์จากการเข้ารหัสระบบคอมพิวเตอร์ ไปสู่การขู่กรรโชกทรัพย์อย่างเต็มรูปแบบ โดยมุ่งเน้นไปที่การขโมยข้อมูลสำคัญและข่มขู่ว่าจะเปิดเผยข้อมูลสู่สาธารณะ หากเหยื่อปฏิเสธการจ่ายเงิน สาเหตุสำคัญของการเปลี่ยนแปลงนี้ มาจากสถิติอัตราการจ่ายเงินค่าไถ่ของเหยื่อที่ลดลงอย่างต่อเนื่องตลอด 7 ปีที่ผ่านมา โดยลดลงจากร้อยละ 76 ในปี 2019 เหลือเพียงร้อยละ 28 ในปี 2026 ส่งผลให้องค์กรต่าง ๆ ไม่ได้จ่ายเงินเพื่อกู้คืนระบบปฏิบัติการอีกต่อไป แต่ยอมจ่ายเพื่อหลีกเลี่ยงความเสียหายด้านชื่อเสียง และผลกระทบทางกฎหมายจากการรั่วไหลของข้อมูลภายใน เมื่อเหยื่อมีแนวโน้มจ่ายเงินน้อยลง ผู้โจมตีจึงปรับตัวโดยการนำข้อมูลที่ขโมยมาไปแสวงหาผลกำไรผ่านการขายต่อโดยตรงให้แก่กลุ่มอาชญากรในตลาดมืด หรือมิจฉาชีพด้านการขโมยข้อมูลระบุตัวตน แม้ว่าเหยื่อจะไม่ยอมจ่ายเงินก็ตาม
การที่แฮกแกอร์ไม่ทำการเข้ารหัสระบบของเหยื่อ ทำให้การโจมตีใช้เวลาน้อยลง เงียบขึ้น และสร้างผลกำไรได้รวดเร็วกว่า เนื่องจากกระบวนการเข้ารหัสมักสร้างร่องรอยหลักฐานทางดิจิทัล ปัจจุบันผู้โจมตีมักใช้เทคนิคเพื่อปิดการทำงานของระบบตรวจจับภัยคุกคามบนอุปกรณ์ปลายทางก่อนเริ่มสำรวจและดึงข้อมูลออกไป โดยลดระยะเวลาการปฏิบัติการตั้งแต่การเริ่มเจาะระบบ จนถึงการนำข้อมูลไปเปิดเผยให้เหลือเพียงไม่กี่วันหรือไม่กี่ชั่วโมง ตัวอย่างที่ชัดเจนคือเหตุการณ์ของกลุ่ม ShinyHunters ที่มีรายงานว่าได้ขโมยข้อมูลขนาดกว่า 3.65 เทราไบต์ จากระบบของ Instructure ซึ่งส่งผลกระทบต่อบุคคลกว่า 275 ล้านคน รวมถึงกลุ่ม Nitrogen ที่มีรายงานว่าได้ขโมยข้อมูลความลับด้านการผลิตของ Foxconn ไปเกือบ 8 เทราไบต์ ซึ่งในเหตุการณ์เหล่านี้ ความกดดันของเหยื่อตกไปอยู่ที่ความเสี่ยงจากการถูกเปิดเผยข้อมูลลับออกไปสู่สาธารณะ โดยไม่มีการเข้ารหัสระบบเป็นปัจจัยหลัก
จากรูปแบบการโจมตีที่เปลี่ยนแปลงไปนี้ การพึ่งพาการสำรองข้อมูลเพื่อกู้คืนระบบเพียงอย่างเดียว จึงไม่เพียงพอต่อการรับมือกับภัยคุกคามอีกต่อไป เนื่องจากองค์กรอาจกู้คืนระบบได้สำเร็จอย่างรวดเร็ว แต่ก็ยังคงได้รับความเสียหายจากการที่ข้อมูลสำคัญถูกนำไปเผยแพร่แล้ว ดังนั้น ผู้ดูแลระบบและองค์กรควรปรับเปลี่ยนแนวทางการป้องกันโดยให้ความสำคัญกับการตรวจจับการลักลอบนำข้อมูลออกนอกระบบ และการเฝ้าระวังทราฟฟิกข้อมูลขาออกเป็นหลัก องค์กรควรพิจารณานำระบบควบคุมการป้องกันข้อมูลสูญหาย (DLP) มาใช้งานร่วมกับการตรวจสอบการใช้งานพื้นที่จัดเก็บข้อมูลบนคลาวด์ที่ผิดปกติ และการจัดการบันทึกข้อมูลล็อกแบบออฟไลน์ นอกจากนี้ ควรมีการเตรียมความพร้อมสำหรับกระบวนการเปิดเผยข้อมูลเหตุการณ์ละเมิดต่อสาธารณะอย่างรวดเร็ว เพื่อลดความเสี่ยงและความเสียหายระยะยาวที่อาจกระทบต่อองค์กรในอนาคต