63/68 (IT) ประจำวันจันทร์ที่ 17 กุมภาพันธ์ 2568
Group-IB เปิดเผยว่า RansomHub กลายเป็นกลุ่มแรนซัมแวร์ที่มีอิทธิพลมากที่สุดในปี 2024 หลังจากกลุ่มแรนซัมแวร์รายใหญ่ เช่น ALPHV และ LockBit ถูกกวาดล้างจากปฏิบัติการของหน่วยงานบังคับใช้กฎหมาย ซึ่ง RansomHub ใช้โมเดล Ransomware-as-a-Service (RaaS) และมีการคัดเลือกพันธมิตรจากกลุ่มอาชญากรไซเบอร์ที่เคยถูกยุบไป ส่งผลให้สามารถขยายขอบเขตการโจมตีได้อย่างรวดเร็ว โดยมุ่งเป้าไปที่องค์กรกว่า 600 แห่งทั่วโลก ครอบคลุมอุตสาหกรรมสำคัญ เช่น การเงิน การดูแลสุขภาพ หน่วยงานภาครัฐ และโครงสร้างพื้นฐานสำคัญ
การสืบสวนพบว่า RansomHub อาจได้รับโค้ดต้นฉบับจากกลุ่ม Knight และปรับปรุงให้รองรับหลายแพลตฟอร์ม ทั้ง Windows, ESXi, Linux และ FreeBSD พวกเขาใช้เทคนิคการโจมตีขั้นสูง เช่น การโจมตีผ่านช่องโหว่แบบ zero-day การโจมตี VPN แบบ Brute Force และการใช้เครื่องมือ PCHunter เพื่อหลบเลี่ยงระบบป้องกัน ซึ่งความซับซ้อนของ RansomHub แสดงให้เห็นในกระบวนการโจมตีที่รัดกุม ตั้งแต่การเจาะระบบเครือข่าย การสำรวจทรัพยากรสำคัญ ไปจนถึงการขโมยข้อมูลด้วยเครื่องมืออย่าง FileZilla ก่อนดำเนินการเข้ารหัสไฟล์ หนึ่งในกรณีศึกษาของ Group-IB ชี้ให้เห็นว่าการโจมตีของ RansomHub สามารถดำเนินการจนสำเร็จภายในเวลาไม่ถึง 14 ชั่วโมง โดยอาศัยช่องโหว่ในไฟร์วอลล์ Palo Alto (CVE-2024-3400) และช่องโหว่เดิมอย่าง CVE-2021-42278 และ CVE-2020-1472 เพื่อควบคุมระบบ หลังจากขโมยข้อมูลสำคัญ แรนซัมแวร์จะปิดการใช้งานระบบสำรองข้อมูลและเข้ารหัสไฟล์ทั้งหมดเพื่อเรียกค่าไถ่ ซึ่งเหตุการณ์นี้ทำให้ผู้ดูแลระบบต้องให้ความสำคัญกับการอัปเดตระบบอย่างต่อเนื่อง รวมถึงการเสริมมาตรการรักษาความปลอดภัยขององค์กรเพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์
แหล่งข่าว : https://hackread.com/ransomhub-king-of-ransomware-600-firms-2024/
