แก๊งแรนซัมแวร์ดังประกาศยุติบทบาท พร้อมแจกเครื่องมือถอดรหัส แต่อย่าไว้ใจ…
แก๊งแรนซัมแวร์ชื่อดัง Hunters International ซึ่งสร้างความเสียหายให้กับองค์กรทั่วโลกในช่วง 2 ปีที่ผ่านมา ได้ประกาศยุติบทบาทอย่างเป็นทางการ พร้อมแจก ตัวถอดรหัส (decryptor) ฟรีแก่เหยื่อที่ถูกโจมตี พร้อมแนบคู่มือการใช้งานผ่านเว็บไซต์ของกลุ่มบนดาร์กเว็บ
โดยแถลงการณ์ของกลุ่มที่ทำเป็นเหมือนผู้ร้ายกลับใจมีใจความว่า “หลังจากพิจารณาอย่างรอบคอบและพิจารณาถึงเหตุการณ์ล่าสุด เราตัดสินใจที่จะปิดโครงการ Hunters International การตัดสินใจนี้ไม่ใช่เรื่องง่าย และเราตระหนักถึงผลกระทบที่เกิดขึ้นกับองค์กรที่เราเคยมีทำงานร่วมกัน”
“เพื่อแสดงน้ำใจและเพื่อช่วยเหลือผู้ที่ได้รับผลกระทบจากการกระทำของเรา เราจึงเสนอซอฟต์แวร์ถอดรหัสฟรีแก่ทุกบริษัทที่ได้รับผลกระทบจากแรนซัมแวร์ของเรา เป้าหมายของเราคือช่วยให้คุณสามารถกู้คืนข้อมูลที่ถูกเข้ารหัสโดยไม่ต้องแบกรับภาระค่าไถ่”
นอกจากนี้ กลุ่มดังกล่าวยังได้ลบข้อมูลทั้งหมดออกจากพอร์ทัลเรียกค่าไถ่ และเพิ่มว่า บริษัทที่ระบบถูกเข้ารหัสจากการโจมตีของ Hunters International สามารถขอรับเครื่องมือถอดรหัสและคำแนะนำในการกู้คืนข้อมูลได้ที่เว็บไซต์อย่างเป็นทางการของกลุ่ม
แต่เบื้องหลังความ “ใจดี” นี้กลับเป็นสัญญาณเตือนที่อันตรายกว่าเดิม
จากข้อมูลของนักวิจัยด้านความมั่นคงไซเบอร์ แก๊งนี้ไม่ได้หายไปไหน หากแต่ “รีแบรนด์” ตัวเองภายใต้ชื่อใหม่ World Leaks พร้อมเปลี่ยนกลยุทธ์จากการเข้ารหัสเรียกค่าไถ่ มาเป็นการขโมยข้อมูลด้วยเครื่องมือใหม่อันตรายกว่าเดิม
นักวิจัยยังเตือนว่า อย่าไว้ใจตัวถอดรหัสที่แจก เพราะอาจมีข้อผิดพลาด ทำให้ไฟล์เสียหายแบบถาวร หรือแฝงโค้ดอันตรายเพื่อสอดแนมระบบของเหยื่อเพิ่มเติม การใช้งานควรทำโดยทีม Incident Response ที่เชี่ยวชาญเท่านั้น และไม่ควรดาวน์โหลดมาทดลองใช้ด้วยตนเองโดยขาดความรู้
กลุ่ม Hunters International นั้นสืบทอดโครงสร้างจากแรนซัมแวร์ Hive ที่ถูก FBI ปราบไปเมื่อปี 2023 และใช้มัลแวร์ที่พัฒนาต่อมาจากนั้น ซึ่งรวมถึงสายพันธุ์แรนซัมแวร์ที่เคยเป็นข่าวดัง ได้แก่:
- Hunters International Ransomware (ตัวหลักของกลุ่ม ใช้ตั้งแต่ปี 2023)
- Hive Ransomware (แรนซัมแวร์ดั้งเดิมก่อนกลุ่มจะรีแบรนด์เป็น Hunters)
- Knight (หรือ Cyclops) Ransomware (มีการแชร์โค้ดร่วมกันในบางแคมเปญ)
ตลอดช่วงเวลาที่ดำเนินการ กลุ่มเคยอ้างว่าโจมตีได้มากกว่า 280 รายทั่วโลก และสรา้งความเสียหายจากข้อมูลรั่วไหลจำนวนมหาศาล โดยมีเหยื่อที่เป็นที่รู้จัก เช่น U.S. Marshals Service, Fred Hutchinson Cancer Center, Tata Technologies, Hoya และองค์กรด้านสาธารณสุขในหลายประเทศ
การประกาศปิดตัวครั้งนี้จึงไม่ใช่สัญญาณว่าภัยคุกคามหายไป หากแต่เป็นการเปลี่ยนหน้ากากใหม่ให้ยากต่อการตรวจจับ และเน้นจุดโจมตีที่องค์กรตั้งรับยากกว่าเดิม นั่นคือการรั่วไหลข้อมูลจริง โดยไม่ต้องเข้ารหัสเลย
เพราะในโลกไซเบอร์ ไม่มีคำว่า “วางใจได้” โดยเฉพาะจากอาชญากรที่เคยทำลายองค์กรนับร้อยเพียงเพื่อแลกกับเงินค่าไถ่