เตือนภัยแรนซัมแวร์ ‘Dire Wolf’ โจมตีอุตสาหกรรมการผลิตทั่วโลก ไทยก็โดนแล้ว

สำนักงานความมั่นคงปลอดภัยไซเบอร์สิงคโปร์ หรือ Cyber Security Agency of Singapore (CSA) ได้ออกประกาศเตือนระดับ “Critical Alert” เกี่ยวกับแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า “Dire Wolf” ซึ่งกำลังแพร่กระจายโจมตีองค์กรในหลายประเทศทั่วโลก โดยมีเป้าหมายหลักอยู่ที่ภาคอุตสาหกรรมเทคโนโลยีและการผลิต และเริ่มสร้างผลกระทบในวงกว้างแล้ว

ทำไมถึงอันตราย

สิ่งที่ทำให้ Dire Wolf เป็นภัยร้ายแรง คือกลยุทธ์การโจมตีแบบ “double-extortion” ที่ไม่เพียงเข้ารหัสข้อมูลสำคัญเพื่อเรียกค่าไถ่ แต่ยังขู่เปิดเผยข้อมูลที่ถูกขโมยบนเว็บไซต์สาธารณะหากเหยื่อไม่ยอมจ่ายเงิน ทั้งยังมีการใช้เทคนิค anti-forensics เพื่อลบหลักฐานและปิดการทำงานของระบบสำรองข้อมูล ทำให้การกู้คืนระบบทำได้ยากขึ้นอย่างมาก

ข้อมูลทางเทคนิคเผยว่า Dire Wolf ถูกพัฒนาด้วยภาษา Golang และบีบอัดไฟล์ด้วย UPX เพื่อให้การวิเคราะห์ตรวจจับทำได้ยาก แรนซัมแวร์ตัวนี้จะปิดการบันทึก log ของ Windows หยุดบริการสำคัญกว่า 75 รายการ ยุติโปรเซสที่เกี่ยวข้องกับฐานข้อมูล โปรแกรม productivity และซอฟต์แวร์รักษาความปลอดภัย ก่อนจะเข้ารหัสไฟล์ทั้งหมดด้วยอัลกอริธึม Curve25519 และ ChaCha20 พร้อมทิ้งโน้ตเรียกค่าไถ่ที่ระบุข้อมูลล็อกอินเฉพาะเพื่อใช้ในการเจรจา

โดยค่าไถ่ที่กลุ่มผู้โจมตีเรียกร้องสูงถึง 500,000 ดอลลาร์สหรัฐ

ไทยโดนแล้ว

Dire Wolf ถูกตรวจพบครั้งแรกในเดือนพฤษภาคม 2025 และในเวลาเพียงหนึ่งเดือน มีรายงานผู้เสียหายแล้วอย่างน้อย 16 รายใน 11 ประเทศ รวมถึงสหรัฐอเมริกา ไทย ไต้หวัน สิงคโปร์ อิตาลี และอินเดีย

ภาคอุตสาหกรรมที่เสี่ยงสูงสุดคือการผลิตและเทคโนโลยี โดยเฉพาะธุรกิจด้านการประมวลผลข้อมูล การออกใบแจ้งหนี้อิเล็กทรอนิกส์ และผู้ให้บริการด้านความเป็นส่วนตัวในเอเชียและทั่วโลก

นอกจากนี้ยังรวมถึงภาคส่วนอื่น ๆ เช่น บัญชี การแพทย์ วิศวกรรม และการก่อสร้าง ซึ่งล้วนมีความเสี่ยงหากมีการจัดเก็บหรือบริหารข้อมูลลูกค้าที่มีความอ่อนไหว

แนวทางการป้องกัน

ผลกระทบของการโจมตีครั้งนี้รุนแรงต่อทั้งระบบการผลิตและห่วงโซ่อุปทาน สร้างความล่าช้าในการดำเนินธุรกิจ สูญเสียรายได้ และทำให้คู่ค้าต้องเผชิญปัญหาตามไปด้วย ค่าไถ่ที่ถูกเรียกสูงระดับหลายแสนดอลลาร์สหรัฐอาจส่งผลกระทบต่อสถานะทางการเงินขององค์กร และยังเพิ่มแรงกดดันต่อค่าเบี้ยประกันภัยไซเบอร์ในอนาคต ขณะเดียวกัน การรั่วไหลของข้อมูลยังส่งผลต่อชื่อเสียงองค์กร รวมถึงความเสี่ยงต่อการถูกตรวจสอบด้านกฎหมายและการปฏิบัติตามข้อกำหนด ซึ่งยิ่งซ้ำเติมปัญหาให้รุนแรงยิ่งขึ้น

CSA แนะนำให้องค์กรเร่งตรวจสอบระบบและเครือข่ายโดยใช้ Indicators of Compromise (IOCs) ที่เกี่ยวข้อง พร้อมเฝ้าระวัง log อย่างละเอียด องค์กรควรมีระบบสำรองข้อมูลหลายชุดที่ผ่านการทดสอบแล้ว และใช้มาตรการรักษาความปลอดภัยแบบหลายชั้น เช่น การเก็บข้อมูลสำรองแบบ offline ที่ไม่สามารถแก้ไขได้ การป้องกันอีเมลและ endpoint โดยใช้การวิเคราะห์พฤติกรรม มาตรการยืนยันตัวตนหลายปัจจัยที่ทนต่อการโจมตีแบบฟิชชิง รวมถึงระบบกรองเนื้อหาที่เป็นอันตราย

ผู้เชี่ยวชาญยังชี้ว่า องค์กรควรให้ความสำคัญกับการบริหารความเสี่ยงจากบุคคลที่สาม ไม่ว่าจะเป็นผู้ให้บริการด้านไอทีหรือผู้รับเหมาช่วง โดยต้องมีมาตรการรักษาความปลอดภัยที่เทียบเท่ากับองค์กรหลัก ขณะเดียวกัน การล่าสืบค้นภัยเชิงรุก (threat hunting) และการแบ่งปันข้อมูลข่าวกรอง (intelligence sharing) ถือเป็นกุญแจสำคัญที่จะช่วยตรวจจับภัยใหม่ ๆ อย่าง Dire Wolf ตั้งแต่ระยะเริ่มต้นก่อนจะลุกลาม

ที่มา