สรุปสั้น
ธุรกิจขนาดเล็กทั่วโลกกำลังตกเป็นเป้าของอีเมลปลอมที่อ้างว่าเป็นการสอบสวนของ Interpol โดยแฮ็กเกอร์สวมรอยเป็นเจ้าหน้าที่บังคับใช้กฎหมาย กดดันให้ผู้รับเปิดไฟล์ที่ถูกนำเสนอว่าเป็นหลักฐานพฤติกรรมน่าสงสัยของบริษัท แต่ในความเป็นจริง การเปิดไฟล์นั้นกลับทำให้เครื่องติดมัลแวร์และนำไปสู่การติดแรนซัมแวร์ นักวิจัยจาก Bitdefender Antispam Lab พบว่าแคมเปญนี้ใช้ภาษาทางการ หัวเรื่องที่เร่งเร้า และตราสัญลักษณ์ของหน่วยงานบังคับใช้กฎหมาย เพื่อโน้มน้าวให้พนักงานเชื่อว่าองค์กรของตนกำลังเผชิญการตรวจสอบด้านการปฏิบัติตามกฎหมายหรือด้านความปลอดภัย โดยอีเมลระบุว่าผู้สอบสวนได้ข้อมูลและวิดีโอที่เชื่อมโยงกับบัญชี ระบบ หรือบริการของบริษัท
จุดที่แยบยลคืออีเมลไม่ได้แนบไฟล์มัลแวร์มาตรง ๆ แต่ชี้ผู้รับไปยังลิงก์ Proton Drive และบอกว่าไฟล์เป็นอาร์ไคฟ์ล็อกรหัสชื่อ archive.rar โดยแนบรหัสผ่านมาในอีเมลด้วย ทำให้คำขอดูเป็นเรื่องปกติและช่วยให้ไฟล์เลี่ยงการสแกนพื้นฐานได้ เมื่อเปิดอาร์ไคฟ์ เหยื่อจะเห็นสิ่งที่ดูเหมือนไฟล์วิดีโอ แต่แท้จริงมันซ่อนเพย์โหลดแรนซัมแวร์ไว้ในอาร์ไคฟ์หลายชั้นด้วยกลอำพรางไฟล์รันเป็นสื่อ หลังรัน มัลแวร์จะพยายามเข้ารหัสไฟล์ในไดรฟ์ที่เข้าถึงได้และแสดงข้อความเรียกค่าไถ่
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 1 กรกฎาคม 2569 อ้างรายงานของบริษัท Bitdefender ว่า แคมเปญนี้ปล่อยอีเมลที่ปลอมเป็นการสอบสวนของ Interpol เพื่อหลอกให้พนักงานธุรกิจขนาดเล็กดาวน์โหลดและรันไฟล์อันตราย ข้อความในอีเมลจะบอกว่าเจ้าหน้าที่ได้รับข้อมูลและวัสดุวิดีโอที่เกี่ยวข้องกับบัญชีหรือบริการของบริษัท พร้อมชี้ไปยังลิงก์ Proton Drive ที่มีไฟล์ archive.rar ซึ่งล็อกรหัสไว้ เมื่อเปิดออกจะพบไฟล์ที่อำพรางเป็นวิดีโอแต่แท้จริงคือไฟล์รันที่บรรจุแรนซัมแวร์
หลังการเข้ารหัสไฟล์ มัลแวร์จะแสดงข้อความเรียกค่าไถ่ที่บอกเหยื่อว่าไม่สามารถกู้ไฟล์คืนได้หากไม่มีคีย์ถอดรหัส พร้อมเตือนไม่ให้ลบ ย้าย หรือสแกนไฟล์ และสั่งให้ติดต่อแฮ็กเกอร์ผ่าน Tox ซึ่งเป็นโพรโทคอลส่งข้อความแบบเข้ารหัส ที่น่าสังเกตคือข้อความเรียกค่าไถ่ไม่ได้ระบุจำนวนเงินตายตัว แฮ็กเกอร์ดูเหมือนจะรอให้เหยื่อติดต่อมาก่อนแล้วค่อยต่อรองตามขนาดองค์กรและมูลค่าข้อมูล นักวิจัยระบุว่ามัลแวร์นี้น่าจะถูกสร้างขึ้นเองแบบเฉพาะกิจ ไม่ใช่ส่วนหนึ่งของตระกูลแรนซัมแวร์ที่รู้จัก โค้ดมีค่าที่ฝังตายตัว รวมถึงรหัสผ่านที่ใช้ระหว่างเข้ารหัสและถอดรหัส และขาดฟีเจอร์หลายอย่างที่พบในปฏิบัติการแรนซัมแวร์ใหญ่ ๆ การใช้ Tox chat ID โดยไม่มีพอร์ทัลเจรจาเฉพาะบนดาร์กเว็บ บ่งชี้ว่านี่น่าจะเป็นปฏิบัติการขนาดเล็กที่เล็งธุรกิจรายย่อยโดยเฉพาะ
วิธีการโจมตี
จุดเด่นของแคมเปญคือการใช้จิตวิทยาความกลัวต่ออำนาจรัฐมาเป็นเครื่องมือ อีเมลอ้างเป็นเจ้าหน้าที่ Interpol แจ้งว่าบริษัทกำลังถูกสอบสวนเรื่องกิจกรรมน่าสงสัย พร้อมภาษาทางการและตราสัญลักษณ์ที่ดูน่าเชื่อถือ เพื่อกดดันให้พนักงานรีบทำตามโดยไม่ตรวจสอบ ไฟล์อันตรายไม่ได้ถูกแนบมาตรง ๆ แต่วางไว้บน Proton Drive ในรูปอาร์ไคฟ์ .rar ที่ล็อกรหัส ซึ่งเป็นเทคนิคหลบการสแกนของเกตเวย์อีเมล เพราะไฟล์ที่ล็อกรหัสมักถูกถอดสแกนไม่ได้ แฮ็กเกอร์ยังซ้อนไฟล์รันไว้ในอาร์ไคฟ์หลายชั้นและตั้งชื่อ-ไอคอนให้ดูเหมือนไฟล์วิดีโอ เพื่อหลอกให้เหยื่อดับเบิลคลิกเปิดด้วยความเข้าใจผิด แคมเปญนี้แผ่ไปถึงองค์กรในยุโรป เอเชีย ตะวันออกกลาง และสหรัฐอเมริกา โดย Bitdefender พบเป้าหมายในกลุ่มอาหารและเกษตร บริการกฎหมาย เภสัชกรรม สื่อ เทคโนโลยี และการเงิน
ผลกระทบต่อไทย
ธุรกิจขนาดเล็กและกลาง (SME) ในไทยเป็นกลุ่มที่เสี่ยงต่อแคมเปญลักษณะนี้อย่างมาก เพราะหลายแห่งไม่มีทีมไอทีหรือทีมความปลอดภัยไซเบอร์ประจำ ทำให้ขาดกระบวนการตรวจสอบอีเมลและไฟล์ที่รัดกุม อีเมลที่ดูเหมือนมาจากหน่วยงานบังคับใช้กฎหมายระหว่างประเทศสามารถกดดันให้พนักงานดาวน์โหลดและรันไฟล์โดยไม่ยืนยันแหล่งที่มา โดยเฉพาะเมื่อข้อความพาดพิงถึงการฉ้อโกงหรือการละเมิดกฎระเบียบ ผู้ประกอบการไทยที่มีตัวตนออนไลน์จึงควรถือว่าอีเมลแจ้งการสอบสวนที่ไม่คาดคิด ลิงก์แชร์ไฟล์ และอาร์ไคฟ์ล็อกรหัส เป็นความเสี่ยงระดับสูงทุกครั้ง เพราะแม้ค่าไถ่จะไม่ระบุตายตัว แต่ความเสียหายจากไฟล์ธุรกิจถูกเข้ารหัสอาจทำให้กิจการหยุดชะงักได้ทันที
คำแนะนำ
ก่อนเปิดไฟล์จากลิงก์คลาวด์ พนักงานควรยืนยันตัวผู้ส่งผ่านช่องทางอื่นแยกต่างหาก ตรวจสอบนามสกุลไฟล์อย่างละเอียด และหลีกเลี่ยงการรันไฟล์รัน (executable) ที่อำพรางเป็นเอกสาร วิดีโอ หรือแพ็กเกจหลักฐาน หากต้องการตรวจว่าไฟล์หรือ URL เป็นอันตรายหรือไม่โดยไม่ต้องเปิด ให้ใช้บริการอย่าง VirusTotal โดยอัปโหลดไฟล์หรือส่งลิงก์เข้าไปตรวจ องค์กรควรอบรมพนักงานให้ตระหนักว่าหน่วยงานบังคับใช้กฎหมายจริงจะไม่ส่งหลักฐานการสอบสวนมาเป็นไฟล์ .rar ล็อกรหัสผ่านลิงก์คลาวด์ ควรตั้งนโยบายบล็อกหรือกักไฟล์อาร์ไคฟ์ล็อกรหัสที่เกตเวย์อีเมล และสำรองข้อมูลสำคัญแบบออฟไลน์อย่างสม่ำเสมอเพื่อลดผลกระทบหากถูกเข้ารหัส
