จับตา "Reynolds" แรนซัมแวร์สายโหด พกอาวุธมาครบจบในตัวเดียว

 

"Reynolds" แรนซัมแวร์น้องใหม่ที่ร้ายไม่ใช่เล่น เพราะปกติเวลาพวกแฮกเกอร์จะบุก เขาต้องเอาเครื่องมือมาปิดระบบป้องกันก่อน แล้วค่อยปล่อยไวรัสเรียกค่าไถ่ตามมา แต่ Reynolds นี่มันเหนือชั้นกว่านั้น มัน "มัดรวม" ทุกอย่างไว้ในไฟล์เดียว

กลยุทธ์ "ดาบนั้นคืนสนอง" (BYOVD)

นักวิจัยจาก Symantec และ Carbon Black ตรวจพบว่า Reynolds ใช้เทคนิคที่เรียกว่า BYOVD (Bring Your Own Vulnerable Driver) พูดง่ายๆ คือมันแอบพก "ไดร์เวอร์" (Driver) ของแท้ที่มีช่องโหว่ติดตัวมาด้วย (ในที่นี้คือ NsecSoft NSecKrnl)

ทำไมต้องแบบนั้น? ก็เพราะไดร์เวอร์พวกนี้มันเป็นไฟล์ที่เซ็นรับรองถูกต้องตามกฎหมาย ทำให้ระบบป้องกันในเครื่องคอมพิวเตอร์ของเราไม่สงสัย แต่พอไฟล์นี้เข้าไปทำงานปุ๊บ มันจะใช้ช่องโหว่ที่มีอยู่ "สั่งปิด" โปรแกรมแอนตี้ไวรัสและระบบความปลอดภัยดังๆ อย่าง CrowdStrike, Palo Alto, Sophos หรือแม้แต่ Symantec เองให้ดับสนิท เพื่อที่มันจะได้ลงเลงเรียกค่าไถ่ได้แบบไม่มีใครขวางนั่นเองครับ

สรุปสถานการณ์เด่นในโลกไอทีช่วงนี้

ไม่ใช่แค่ Reynolds นะครับที่น่ากลัว ผมสรุปมาให้แล้วว่าตอนนี้มีอะไรต้องระวังอีก

• Global Group: แรนซัมแวร์สายอินดี้ เน้นเจาะระบบที่ไม่ได้ต่อเน็ต (Air-gapped) และทำงานจบในเครื่องเดียว ไม่ต้องส่งข้อมูลออกไปข้างนอก
• LockBit 5.0: ตัวแสบเจ้าเก่ากลับมาแล้ว เปลี่ยนวิธีเข้ารหัสใหม่ให้แกะยากขึ้น แถมทีแถบ "Progress Bar" โชว์ให้ดูด้วยว่าล็อกไฟล์ไปถึงไหนแล้ว
• เป้าหมายใหม่คือ Cloud: ตอนนี้แฮกเกอร์เริ่มเลิกจ้องแค่คอมพิวเตอร์ในออฟฟิศ แต่หันไปโจมตีพวกถังเก็บข้อมูลบน Cloud ที่ตั้งค่าความปลอดภัยไม่รัดกุมแทน

ตัวเลขที่น่าตกใจ

ในปี 2025 ที่ผ่านมา มีการโจมตีด้วยแรนซัมแวร์สูงถึง 4,737 ครั้ง และที่แสบกว่าคือการขโมยข้อมูลไปข่มขู่โดยไม่ล็อกไฟล์ (Data Theft) พุ่งสูงขึ้นถึง 23% ส่วนค่าไถ่เฉลี่ยตอนนี้ดีดขึ้นไปสูงถึงเกือบ 6 แสนดอลลาร์ หรือประมาณ 20 กว่าล้านบาทต่อครั้งเลยทีเดียว

อย่าลืมอัปเดตซอฟต์แวร์ หมั่นสำรองข้อมูล และระวังอีเมลแปลกๆ ที่แนบฟไล์นามสกุล .LNK หรือไฟล์แปลกๆ มาให้ด้วยนะครับ 

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก