สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานสหรัฐฯ (CISA) ออกคำเตือนเกี่ยวกับ Ghost Ransomware ซึ่งเป็นกลุ่มแรนซัมแวร์มีแหล่งที่มาเชื่อมโยงกับประเทศจีน และกำลังแพร่ระบาดในกว่า 70 ประเทศทั่วโลก กลุ่มนี้มีลักษณะพิเศษคือสามารถเปลี่ยนจากการเข้าถึงเครือข่ายเป้าหมายไปสู่การโจมตีเต็มรูปแบบภายในเวลาเพียงวันเดียว ซึ่งเร็วกว่ากลุ่มแรนซัมแวร์ทั่วไปอย่างมาก องค์กรที่มีความเสี่ยงสูง ได้แก่ โครงสร้างพื้นฐานสำคัญ โรงพยาบาล สถานศึกษา หน่วยงานภาครัฐ และบริษัทด้านเทคโนโลยีที่ยังคงใช้ซอฟต์แวร์หรือเฟิร์มแวร์เวอร์ชันเก่าที่มีช่องโหว่
CISA รายงานว่า Ghost Ransomware อาศัยการเจาะช่องโหว่ของระบบที่ไม่ได้รับการอัปเดต เช่น Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint และ ProxyShell ใน Microsoft Exchange Server เพื่อเข้าถึงเครือข่าย จากนั้นจึงใช้ Cobalt Strike ซึ่งเป็นเครื่องมือสำหรับทดสอบการเจาะระบบที่นิยมใช้ในกลุ่มอาชญากรไซเบอร์เป็นพื้นฐานสำหรับการโจมตี เพื่อใช้งานแรนซัมแวร์แล้วจึงดำเนินกระบวนการเรียกค่าไถ่ แม้ว่ากลุ่มนี้จะขู่เผยแพร่ข้อมูลที่ขโมยมา แต่ CISA พบว่ามักไม่มีการขโมยข้อมูลจำนวนมากจริง ทำให้เชื่อได้ว่าการข่มขู่เหล่านี้เป็นเพียงกลยุทธ์กดดันให้เหยื่อจ่ายเงินค่าไถ่
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้องค์กรเร่งอัปเดตแพตช์ความปลอดภัยเพื่อลดความเสี่ยง พร้อมทั้งติดตาม indicators of compromise (IoC) ที่เกี่ยวข้องกับกลุ่ม Ghost Ransomware ซึ่ง CISA ยังเตือนว่าแรนซัมแวร์กลุ่มนี้มีความสามารถในการปรับเปลี่ยนกลยุทธ์อย่างรวดเร็ว เช่น การเปลี่ยนนามสกุลไฟล์ที่เข้ารหัสและการใช้ที่อยู่อีเมลหลายรายการในการเรียกค่าไถ่ ดังนั้นองค์กรควรใช้มาตรการป้องกันเชิงรุก เช่น การสแกนหาภัยคุกคามและตรวจสอบการใช้งาน Cobalt Strike ภายในเครือข่ายเพื่อป้องกันการถูกโจมตี
แหล่งข่าว https://www.darkreading.com/cyberattacks-data-breaches/ghost-ransomware-targets-orgs-70-countries
——————————————————————————————-
ที่มา : thaicert / วันที่เผยแพร่ 24 กุมภาพันธ์ 2568
Link : https://shorturl.at/O8L23
