262/68 (IT) ประจำวันจันทร์ที่ 21 กรกฎาคม 2568
หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของญี่ปุ่น ร่วมกับ Europol และ FBI ได้ปล่อยเครื่องมือถอดรหัส (Decryptor) สำหรับแรนซัมแวร์ Phobos และ 8Base ที่ช่วยให้เหยื่อสามารถกู้คืนข้อมูลได้โดยไม่ต้องจ่ายค่าไถ่ โดยสามารถดาวน์โหลดได้ฟรีผ่านเว็บไซต์ของสำนักงานตำรวจญี่ปุ่นและโครงการ No More Ransom ซึ่งเป็นความร่วมมือระดับสากล เครื่องมือนี้รองรับไฟล์ที่มีนามสกุล .phobos, .8base, .elbie, .faust และ .LIZARD รวมถึงไฟล์อื่นที่เกี่ยวข้อง ทั้งนี้ แนะนำให้ผู้ใช้ตรวจสอบและลบมัลแวร์ออกจากระบบก่อนใช้งาน decryptor เพื่อป้องกันการเข้ารหัสซ้ำ
Phobos เป็นแรนซัมแวร์ที่ดำเนินงานในลักษณะ Ransomware-as-a-Service (RaaS) โดยเริ่มปรากฏตั้งแต่ปี 2019 และมีสายพันธุ์ย่อยจำนวนมาก เช่น Backmydata, Devos, Eight, Elking และ Faust โดยกลุ่มผู้โจมตีมักใช้เครื่องมือโอเพนซอร์ส เช่น SmokeLoader, Cobalt Strike และ BloodHound เพื่อเจาะระบบเป้าหมายผ่านฟิชชิง การสแกนพอร์ต RDP และเทคนิคการซ่อน payload ต่าง ๆ ส่วนแรนซัมแวร์ 8Base เป็นกลุ่ม Affiliate ของ Phobos ที่เริ่มเคลื่อนไหวอย่างรุนแรงตั้งแต่กลางปี 2023 โดยมุ่งเป้าโจมตีธุรกิจขนาดเล็กและกลาง พร้อมใช้กลยุทธ์ double extortion คือการเข้ารหัสไฟล์และข่มขู่เปิดเผยข้อมูลหากไม่ชำระเงินค่าไถ่
หน่วยงานบังคับใช้กฎหมายได้เร่งปราบปรามเครือข่ายแรนซัมแวร์ Phobos อย่างต่อเนื่อง โดยในเดือนพฤศจิกายน 2024 ทางการสหรัฐฯ ได้ดำเนินการส่งตัวนาย Evgenii Ptitsyn ผู้ต้องสงสัยชาวรัสเซียจากเกาหลีใต้มาดำเนินคดีในสหรัฐฯ โดยระบุว่าเครือข่ายของเขาเกี่ยวข้องกับการโจมตีเป้าหมายมากกว่า 1,000 แห่งทั้งในสหรัฐอเมริกาและทั่วโลก และสร้างความเสียหายกว่า 16 ล้านดอลลาร์สหรัฐ ทั้งนี้ Ptitsyn ใช้ชื่อใน darknet ว่า “derxan” และ “zimmermanx” ทำหน้าที่ดูแลระบบ RaaS และขายแรนซัมแวร์ให้กับเครือข่าย Affiliate ทั่วโลก ต่อมาในเดือนกุมภาพันธ์ 2025 กระทรวงยุติธรรมสหรัฐฯ ได้ออกหมายจับผู้ร่วมขบวนการเพิ่มเติม ได้แก่ Roman Berezhnoy และ Egor Glebov พร้อมยึดโครงสร้างพื้นฐานของกลุ่มดังกล่าว
