Group-IB เปิดเผยว่า RansomHub กลายเป็นกลุ่มแรนซัมแวร์ที่มีอิทธิพลมากที่สุดในปี 2024 หลังจากกลุ่มแรนซัมแวร์รายใหญ่ เช่น ALPHV และ LockBit ถูกกวาดล้างจากปฏิบัติการของหน่วยงาน
บังคับใช้กฎหมาย ซึ่ง RansomHub ใช้โมเดล Ransomware-as-a-Service (RaaS) และมีการคัดเลือกพันธมิตรจากกลุ่มอาชญากรไซเบอร์ที่เคยถูกยุบไป ส่งผลให้สามารถขยายขอบเขตการโจมตีได้อย่างรวดเร็ว
โดยมุ่งเป้าไปที่องค์กรกว่า 600 แห่งทั่วโลก ครอบคลุมอุตสาหกรรมสำคัญ เช่น การเงิน การดูแลสุขภาพ หน่วยงานภาครัฐ และโครงสร้างพื้นฐานสำคัญ การสืบสวนพบว่า RansomHub อาจได้รับโค้ดต้นฉบับจากกลุ่ม Knight
และปรับปรุงให้รองรับ หลายแพลตฟอร์ม ทั้ง Windows, ESXi, Linux และ FreeBSD พวกเขาใช้เทคนิคการโจมตีขั้นสูง เช่น การโจมตีผ่านช่องโหว่แบบ zero-day การโจมตี VPN แบบ Brute Force และการใช้เครื่องมือ PCHunter
เพื่อหลบเลี่ยงระบบป้องกัน ซึ่งความซับซ้อนของ RansomHub แสดงให้เห็นใน กระบวนการโจมตีที่รัดกุม ตั้งแต่การเจาะระบบเครือข่าย การส ารวจทรัพยากรสำคัญ ไปจนถึงการขโมยข้อมูลด้วยเครื่องมืออย่าง FileZilla ก่อนดำเนินการเข้ารหัสไฟล์ หนึ่งในกรณีศึกษาของ Group-IB ชี้ให้เห็นว่าการโจมตีของ RansomHub สามารถด าเนินการจนส าเร็จภายในเวลาไม่ถึง 14 ชั่วโมง โดยอาศัยช่องโหว่ในไฟร์วอลล์Palo Alto (CVE-2024-3400) และช่องโหว่เดิมอย่าง
CVE-2021-42278 และ CVE-2020-1472 เพื่อควบคุมระบบ หลังจากขโมยข้อมูลสำคัญ แรนซัมแวร์ จะปิดการใช้งานระบบส ารองข้อมูลและเข้ารหัสไฟล์ทั้งหมดเพื่อเรียกค่าไถ่ ซึ่งเหตุการณ์นี้ทำให้ผู้ดูแล ระบบต้องให้ความสำคัญกับ
การอัปเดตระบบอย่างต่อเนื่อง รวมถึงการเสริมมาตรการรักษาความปลอดภัยขององค์กรเพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์
ที่มาของข่าว : https://hackread.com/ransomhub-king-of-ransomware-600-firms-2024/
————————————————————————————————————————————————————————-
ที่มา : Thailand Computer Emergency Response Team (ThaiCERT) / วันที่เผยแพร่ 17 กุมภาพันธ์ 2568
Link : https://shorturl.at/95oQf
