กลุ่มแรนซัมแวร์หันมาใช้กลยุทธ์ "แอบอ้างตัวตน" เพื่อปล่อยแรนซัมแวร์เข้าระบบมากกว่าแต่ก่อน

กลุ่มแรนซัมแวร์หันมาใช้กลยุทธ์ "แอบอ้างตัวตน" เพื่อปล่อยแรนซัมแวร์เข้าระบบมากกว่าแต่ก่อน

มัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomware นั้นเรียกได้ว่าเป็นภัยร้ายแรงสำหรับธุรกิจต่าง ๆ เนื่องจากจะสามารถนำมาสู่การสูญเสียข้อมูล และเงินได้นับล้าน ๆ ถึงขั้นบริษัทสามารถปิดตัวได้เลยทีเดียว แต่จากข่าวนี้ผู้อ่านที่เป็นผู้ประกอบการ อาจจะมีความสนใจที่จะเรียนรู้ว่าเหล่าอาชญากรเหล่านี้ได้ใช้กลยุทธ์แบบใดจนมัลแวร์สามารถเข้าถึงระบบได้

จากรายงานโดยเว็บไซต์ Cyber Security Dive ได้กล่าวถึงรายงานล่าสุดจากทาง Cloudflare บริษัทผู้ใช้บริการการปกป้องเว็บไซต์จากการถูกโจมตีจากช่องทางออนไลน์ ได้มีการระบุถึงการเปลี่ยนแปลงไปของเทรนด์วิธีการโจมตีของแรนซัมแวร์ในการเข้าถึงระบบของเหยื่อ ที่ได้เปลี่ยนจากการใช้งานโค้ดที่มีความซับซ้อนเพื่อแฮกเข้าสู่ระบบแล้ววางแรนซัมแวร์ลงอย่างที่มักทำกันในอดีต มาใช้การปลอมตัวตนเป็นผู้ติดต่อที่มีความน่าเชื่อถือ (Impersonation) เพื่อหลอกลวงเหยื่อด้วยวิธีการ Phishing ซึ่งจะนำไปสู่การขโมยบัญชีของเหยื่อเพื่อเข้าถึงระบบขององค์กรและวางแรนซัมแวร์ลงในระบบ และอีกวิธีการหนึ่งที่ได้รับความนิยมไม่แพ้กัน นั่นคือ การใช้ประโยชน์จากรหัสผ่าน (Password) ที่เดาสุ่มได้ง่ายและมีการป้องกันทีอ่อนแอ นำไปสู่การขโมยบัญชีของเหยื่อได้เช่นกัน นอกจากนั้นก็ยังมีการใช้ผู้สมรู้ร่วมคิดที่เป็นคนใน (Internal Collaborator) เพื่อเข้าถึงระบบของบริษัทที่ถูกเล็งไว้อีกด้วย

นอกจากในประเด็นของเทรนด์การโจมตีดังกล่าวแล้ว ตัวรายงานยังได้เปิดเผยข้อมูลสำคัญหลายอย่าง เช่น มีการตรวจพบว่ากลุ่มอุตสาหกรรมในภาคการผลิต (Manufacturing) และ ด้านโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) นั้นเป็นเป้าหมายหลักของกลุ่มแรนซัมแวร์มากถึง 50% ของอุตสาหกรรมต่าง ๆ ทั้งหมด ไม่เพียงเท่านั้นงานวิจัยยังพบว่า แฮกเกอร์กลุ่มที่พัฒนาแรนซัมแวร์ ยังมีแนวโน้มที่จะนำเอาปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence) ประเภทโมเดลภาษาขนาดใหญ่ (Large Language Model หรือ LLM) เข้ามาใช้งานเพื่อทำให้แรนซัมแวร์มีความฉลาดและทำงานได้อย่างอัตโนมัติมากยิ่งขึ้น โดยการใช้งาน AI นั้น ไม่ได้มีจุดประสงค์เพื่อสร้างแรนซัมแวร์ที่ซับซ้อนเหนือชั้นแต่อย่างใด แต่เน้นไปที่การใช้งานได้อย่างเต็มประสิทธิภาพมากกว่า

ในด้านการปลอมตัวเพื่อหลอกขโมยเงินนั้น ตัวงานวิจัยพบว่าในช่วงปี ค.ศ. 2025 (พ.ศ. 2568) กลุ่มมิจฉาชีพได้ใช้วิธีการปลอมตัวโดยมีความพยายามขโมยเงินมูลค่ารวมถึง 123.5 ล้านดอลลาร์สหรัฐ (3,995,966,000 บาท) โดยปริมาณเฉลี่ยที่มิจฉาชีพกลุ่มนี้พยายามจะไถเงินจากเหยื่อนั้นจะตกอยู่ประมาณรายละ 49,000 ดอลลาร์สหรัฐ (1,585,199 บาท) ผ่านการปลอมตัวเป็นบุคคลหรือองค์กรที่น่าไว้วางใจ เข้ามาคุยกับองค์กรเหยื่อ และเรียกเงิน โดยทำทุกอย่างเหมือนกิจกรรมธุรกิจทั่วไป ซึ่งกว่าเหยื่อจะรู้ตัวก็มักจะโอนให้มิจฉาชีพไปแล้ว

ตัวรายงานยังได้ระบุถึงคุณลักษณะที่แตกต่างกันออกไปจากเป็นเอกลักษณ์ของแฮกเกอร์จากชาติหลัก ๆ แต่ละชาติดังนี้

แฮกเกอร์จากรัสเซียมักจะใช้การโจมตีแบบปริมาณมาก โดยมีเป้าหมายที่กว้าง
แฮกเกอร์จากจีนจะใช้การล่องหน แฝงตัวอยู่ภายในระบบโครงสร้างพื้นฐานที่มีความสำคัญยิ่งยวด
แฮกเกอร์จากเกาหลีเหนือ จะเน้นการโจมตีไปยังตัวคน ด้วยการใช้วิธีการสร้างความเชื่อใจเป็นหลัก

แฮกเกอร์ในแต่ละชาติยังมีการใช้แพลตฟอร์มที่มีความน่าเชื่อถือสูง (Trusted Platforms) ในปฏิบัติการของตน ดังนี้

แฮกเกอร์จากจีน พบว่ามีการใช้งาน Google Calendar ในการเป็นตัวควบคุมมัลแวร์ (C2 หรือ Command and Control)
แฮกเกอร์จากรัสเซียมีการใช้เว็บไซต์แบบแปะข้อความ (Text Paste) ในการประยุกต์มาใช้เพื่อการสับเปลี่ยนที่อยู่ของเซิร์ฟเวอร์ C2 (C2 Rotation)
แฮกเกอร์จากอิหร่านมักโฮสต์ตัวหน้าเพจ C2 ไว้บนบริการเว็บโดเมนของ Microsoft Azure