สรุปสั้น

รายงานจากบริษัท Flare เปิดเผยว่าไตรมาสแรกของปี 2569 มีเหยื่อแรนซัมแวร์ที่ถูกเปิดเผยบนเว็บไซต์ data leak จำนวน 2,122 ราย สูงเป็นอันดับ 2 ตลอดกาลสำหรับช่วงไตรมาสแรก แม้จะมีปฏิบัติการบังคับใช้กฎหมายต่อเนื่อง ตลาดแรนซัมแวร์กลับไม่ได้ชะลอตัวลง แต่เกิดการรวมตัว (consolidation) อย่างชัดเจน โดยกลุ่ม 10 อันดับแรกครองส่วนแบ่ง 71% ของเหยื่อทั้งหมด กลุ่ม Qilin นำด้วยเหยื่อ 338 ราย ขณะที่ LockBit 5.0 กลับมาอยู่อันดับ 4 ด้วยเหยื่อ 163 ราย

ที่น่าจับตาคือกลุ่มใหม่ 2 กลุ่มที่อ้างสายสัมพันธ์กับ LockBit และ Qilin คือ Hyflock และ The Gentlemen ซึ่งปรากฏตัวในเดือนพฤษภาคม 2569 พร้อมรับสมัคร affiliate บนฟอรัมใต้ดิน The Gentlemen เติบโตจาก 40 เหยื่อในไตรมาส 4/2568 เป็น 166 รายในไตรมาส 1/2569 (เพิ่ม 315%) ขึ้นเป็นอันดับ 3 ของโลก ส่วน Hyflock ชูจุดเด่นเรื่องเครื่องมือครบวงจรรวมถึง AI วิเคราะห์ข้อมูลเหยื่อ นักวิเคราะห์ชี้ว่าอดีตสมาชิก LockBit ที่กระจายตัวหลังปฏิบัติการ Cronos เมื่อ 2 ปีก่อน กำลังสร้างปฏิบัติการของตนเองแทนที่จะรอกลุ่มเก่าฟื้นตัว

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 16 มิถุนายน พ.ศ. 2569 ว่า รายงานจากบริษัท Flare ซึ่งติดตามเว็บไซต์ data leak ของกลุ่มแรนซัมแวร์ พบว่าไตรมาสแรกของปี 2569 มีเหยื่อใหม่ 2,122 ราย สูงเป็นอันดับ 2 ตลอดกาลสำหรับช่วงไตรมาสแรก ภาพรวมของตลาดแรนซัมแวร์แสดงให้เห็นการรวมตัวอย่างชัดเจน โดยกลุ่ม 10 อันดับแรกครองส่วนแบ่ง 71% ของเหยื่อทั้งหมดในไตรมาส ซึ่งแตกต่างจากกิจกรรมที่กระจัดกระจายในช่วง 2 ไตรมาสก่อนหน้า

กลุ่ม Qilin นำเป็นอันดับ 1 ด้วยเหยื่อ 338 ราย ขณะที่ LockBit 5.0 กลับมาอยู่อันดับ 4 ด้วย 163 ราย กลุ่มใหม่ที่สร้างความสั่นสะเทือนมากที่สุดคือ The Gentlemen RaaS ซึ่งก่อตั้งโดยผู้ใช้นามแฝง hastalamuerte ที่ออกจาก Qilin หลังเกิดข้อพิพาทเรื่องค่าจ้าง กลุ่มนี้เติบโตจาก 40 เหยื่อในไตรมาส 4/2568 เป็น 166 รายในไตรมาส 1/2569 (เพิ่มขึ้น 315%) ขึ้นเป็นอันดับ 3 ของโลกภายในไตรมาสเดียว The Gentlemen ยังได้ร่วมเป็นพันธมิตรกับ BreachForums ในเดือนพฤษภาคม 2569 เปิดทางเข้าถึงชุมชน access broker และ pentester ขนาดใหญ่ อีกกลุ่มหนึ่งคือ Hyflock ที่ดำเนินการโดยผู้ใช้นามแฝง hyflock123 ซึ่งชูจุดเด่นเรื่องเครื่องมือครบวงจร รวมถึงระบบซื้อ initial access อัตโนมัติ ห้องเจรจาค่าไถ่อัตโนมัติ AI วิเคราะห์ข้อมูลทางการเงินของเหยื่อ และทีม red team สนับสนุน affiliate ระหว่างการโจมตี

บริษัท Flare ระบุว่าผู้ก่อตั้งทั้ง 2 กลุ่มอ้างว่ามีประสบการณ์จาก LockBit และ Qilin โดยตรง แม้จะไม่สามารถตรวจสอบอิสระได้ แต่รายละเอียดเชิงปฏิบัติการในโพสต์รับสมัคร affiliate บ่งชี้ถึงประสบการณ์ที่ยากจะปลอมแปลง ฉากหลังของการเปลี่ยนแปลงนี้คือปฏิบัติการ Cronos ที่หน่วยบังคับใช้กฎหมายยึดโครงสร้างพื้นฐานของ LockBit เมื่อเดือนกุมภาพันธ์ 2567 ทำให้ affiliate จำนวนมากกระจายตัว และ 2 ปีต่อมาบุคคลเหล่านี้กำลังสร้างปฏิบัติการของตนเองแทนที่จะรอกลุ่มเก่าฟื้นตัว

วิธีการโจมตี

The Gentlemen เสนอส่วนแบ่ง 90% แก่ affiliate สูงกว่า LockBit ที่เคยเสนอ 80% ในอดีต ตัวเข้ารหัสของกลุ่มทำงานได้โดยไม่ต้องมีสิทธิ์ administrator รองรับ Windows, Linux, NAS, BSD และ ESXi มีโหมดเงียบ (silent mode) ที่ไม่เปลี่ยนชื่อไฟล์หรือวันที่แก้ไข ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับแบบ file-rename detection แต่ละ build สร้าง ransom note พร้อมข้อมูลติดต่อของ affiliate โดยอัตโนมัติ ให้ affiliate ควบคุมการเจรจาเองทั้งหมด กลุ่มยังใช้ GPO-based spreading เพื่อแพร่กระจายในเครือข่ายองค์กร

Hyflock มุ่งเน้นเครื่องมือครบวงจร ระบบซื้อ initial access อัตโนมัติ ห้องเจรจาค่าไถ่อัตโนมัติ AI วิเคราะห์ข้อมูลทางการเงินของเหยื่อ และทีม red team ช่วยเหลือ affiliate ระหว่างการบุกรุก ผู้ดำเนินการอ้างว่าตัวเข้ารหัสทำงานเร็วกว่า LockBit 3.0 ประมาณ 2 เท่า แม้ยังไม่มีผลทดสอบอิสระยืนยัน Hyflock ยังเจาะจงโจมตี cloud backup ที่ active อยู่โดยเฉพาะ ทั้ง 2 กลุ่มรองรับ ESXi, Linux และ NAS ซึ่งมักไม่มี endpoint detection ติดตั้ง รายงาน Verizon DBIR 2025 พบว่า 54% ของเหยื่อแรนซัมแวร์มี credential ปรากฏในตลาด stealer ก่อนการโจมตี

ผลกระทบต่อไทย

องค์กรในประเทศไทยที่ใช้ระบบ virtualization อย่าง VMware ESXi, Linux server และ NAS ซึ่งมักไม่มี endpoint detection ครอบคลุม เป็นเป้าหมายโดยตรงของทั้ง 2 กลุ่มใหม่นี้ การที่ The Gentlemen มี silent mode ที่ไม่เปลี่ยนชื่อไฟล์ทำให้การตรวจจับยากขึ้นสำหรับองค์กรที่พึ่งพาการเฝ้าระวังแบบ file-rename detection เท่านั้น นอกจากนี้ Hyflock ที่เจาะจงโจมตี cloud backup หมายความว่าแม้องค์กรที่มีระบบสำรองข้อมูลบนคลาวด์ก็อาจสูญเสียข้อมูลสำรองไปด้วย แนวโน้มการรวมตัวของตลาดแรนซัมแวร์รอบกลุ่มที่มีทรัพยากรและประสบการณ์สูงยิ่งเพิ่มความเสี่ยงให้กับองค์กรทุกขนาด

คำแนะนำ

ผู้ดูแลระบบควรเฝ้าระวังการเปลี่ยนแปลง Group Policy (GPO) อย่างใกล้ชิดเนื่องจากทั้ง 2 กลุ่มใช้ GPO-based spreading แยก credential ของ cloud backup ออกจาก domain admin path เพื่อป้องกัน Hyflock ที่เจาะจงโจมตี cloud backup ที่ active อยู่ สำหรับ silent mode ของ The Gentlemen ที่ไม่เปลี่ยนชื่อไฟล์ ควรเปลี่ยนการตรวจจับมาเฝ้าระวัง rapid partial-write pattern จาก process ที่ไม่มีสิทธิ์สูงแทนการดูการเปลี่ยนนามสกุลไฟล์ ติดตั้ง endpoint detection บน ESXi, Linux และ NAS host ที่มักถูกละเลย และตรวจสอบ credential ขององค์กรในตลาด stealer เป็นประจำ เนื่องจาก 54% ของเหยื่อแรนซัมแวร์มี credential รั่วไหลก่อนการโจมตี

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
QTox Handle37BC1EC8D8EEE7ECEA44A953855DAC628DF0920CE41EE4164006BDC95ADEBA5738C870A23686ช่องทางติดต่อของผู้ดำเนินการ Hyflock RaaS สำหรับรับสมัคร affiliate บนฟอรัม Duty-Free

หมายเหตุ: IP address และโดเมนถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการ resolve หรือเชื่อมต่อโดยไม่ตั้งใจ ควร re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence เช่น MISP, VirusTotal หรือ SIEM เท่านั้น

แหล่งอ้างอิง