สรุปสั้น

กรณีศึกษาใหม่จาก Ransom-ISAC เปิดโปงการรีดไถที่หน่วยงานรัฐระดับท้องถิ่นของสหรัฐฯ ยอมจ่ายเงินราว 1 ล้านดอลลาร์ (ประมาณ 36 ล้านบาท) ให้กลุ่มที่เรียกตัวเองว่า Kairos เพื่อแลกกับการไม่เผยแพร่ไฟล์ที่ถูกขโมยไป จุดที่ทำให้กรณีนี้ต่างจากข่าวแรนซัมแวร์ทั่วไปคือ Kairos อาจไม่ใช่แก๊งแรนซัมแวร์เลยด้วยซ้ำ เพราะนักวิจัยไม่พบร่องรอยการเข้ารหัสเครื่องแม้แต่เครื่องเดียว ไม่มี encryptor ไม่มี locker และไม่มีการเรียกร้องค่ากุญแจถอดรหัสใด ๆ กลยุทธ์ของกลุ่มเรียบง่ายกว่านั้นมาก คือขโมยไฟล์ออกไปแล้วเรียกเก็บเงินจากเหยื่อเพื่อไม่ให้ข้อมูลถูกตีแผ่สู่สาธารณะ แม้รายงานจะไม่ระบุชื่อเหยื่อ แต่หลักฐานในแชตเจรจาที่หลุดออกมา เช่น ชื่อไฟล์พิสูจน์การขโมยอย่าง Union.xlsx และไฟล์บีบอัดสุดท้ายชื่อ union.rar ชี้ไปที่ Union County รัฐโอไฮโอ ซึ่งเคยแจ้งเหตุถูกโจมตีเมื่อพฤษภาคม พ.ศ. 2568 และแจ้งเตือนประชาชนกับเจ้าหน้าที่รวม 45,487 รายว่าข้อมูลถูกขโมย ครอบคลุมเลขประกันสังคม ข้อมูลการเงิน ลายนิ้วมือ ไปจนถึงเลขหนังสือเดินทาง

การเจรจากินเวลาราวหนึ่งเดือน โดย Kairos เปิดข้อเรียกร้องที่ 3 ล้านดอลลาร์พร้อมอ้างว่าถือข้อมูลกว่า 2 เทราไบต์ราว 1.6 ล้านไฟล์ ก่อนกดดันด้วยตัวนับเวลาถอยหลังและคำขู่ว่าจะปล่อยโฟลเดอร์อ่อนไหวที่สุดออกก่อน จนจบที่ตัวเลขสุดท้าย 1 ล้านดอลลาร์ ซึ่งเหยื่อจ่ายเป็น Bitcoin ราว 9.44 BTC เมื่อวันที่ 13 มิถุนายน พ.ศ. 2568 การตามรอยธุรกรรมบนบล็อกเชนพบว่าเงินถูกแยกและส่งผ่านกระเป๋าหลายชั้นไปยังที่อยู่ฝากเงินของกระดานแลกเปลี่ยน Bybit, OKX และบริการสัญชาติรัสเซียชื่อ BELQI กรณีนี้ตอกย้ำแนวโน้มที่การรีดไถด้วยข้อมูลล้วน ๆ กำลังแทนที่การเข้ารหัส โดยบริษัท Sophos รายงานเมื่อปี 2568 ว่ามีการโจมตีแรนซัมแวร์เพียงราวครึ่งเดียวเท่านั้นที่ยังเกี่ยวข้องกับการเข้ารหัสจริง ซึ่งต่ำที่สุดในรอบหกปี

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 4 กรกฎาคม พ.ศ. 2569 ว่า นาย Rakesh Krishnan ได้จัดทำกรณีศึกษาให้กับ Ransom-ISAC โดยอาศัยแชตเจรจาที่หลุดออกมาและเส้นทางธุรกรรมบนบล็อกเชนที่การจ่ายเงินทิ้งร่องรอยไว้ แม้รายงานจะไม่เปิดเผยชื่อเหยื่อโดยตรง แต่รายละเอียดในแชตหลายจุดชี้ไปที่ Union County รัฐโอไฮโอ ทั้งชื่อไฟล์พิสูจน์การขโมยข้อมูลอย่าง Union.xlsx, 1 union co psi template.doc และไฟล์บีบอัดชุดสุดท้ายชื่อ union.rar อีกทั้งฝ่ายเหยื่อยังเรียกตัวเองว่าเป็นเทศมณฑลขนาดเล็กที่มีทรัพยากรจำกัด ขณะที่ผู้โจมตีใช้โฟลเดอร์หนึ่งที่ติดป้ายว่า “prosecutors office” เป็นเครื่องมือกดดันหลัก โดยขู่ว่าหากข้อมูลชุดนี้หลุดออกไปจะช่วยให้อาชญากรหลบเลี่ยงการดำเนินคดีได้

เบาะแสเหล่านี้สอดคล้องกับเหตุการณ์จริงเมื่อเดือนพฤษภาคม พ.ศ. 2568 ที่ Union County แถลงว่าตรวจพบแรนซัมแวร์ในเครือข่ายและต่อมาแจ้งเตือนประชาชนกับเจ้าหน้าที่รวม 45,487 รายว่าข้อมูลถูกขโมย ซึ่งคิดเป็นประชากรส่วนใหญ่ของเทศมณฑลที่มีราว 70,000 คน ข้อมูลที่ถูกขโมยครอบคลุมตั้งแต่เลขประกันสังคม รายละเอียดทางการเงิน ไปจนถึงลายนิ้วมือและเลขหนังสือเดินทาง อย่างไรก็ตามทั้งเทศมณฑลและกลุ่ม Kairos ยังไม่ได้ยืนยันความเชื่อมโยงนี้ แต่หากเป็นจริงก็หมายความว่ารัฐบาลท้องถิ่นแห่งหนึ่งจ่ายเงินราว 1 ล้านดอลลาร์โดยไม่เคยเปิดเผยต่อสาธารณะ ทาง The Hacker News ได้ติดต่อสำนักงานคณะกรรมาธิการ Union County เพื่อขอความเห็นแล้ว ปัจจุบันกลุ่ม Kairos เงียบหายไป เว็บไซต์ปล่อยข้อมูลของกลุ่มปิดตัวลง และเหยื่อรายสุดท้ายที่เป็นที่รู้จักปรากฏเมื่อมิถุนายน พ.ศ. 2569 แต่กระเป๋าเงินที่เชื่อมโยงกับปฏิบัติการยังคงมีการเคลื่อนไหวล่าสุดถึงพฤษภาคม พ.ศ. 2569 ซึ่งเป็นเครื่องเตือนว่าเว็บไซต์ปล่อยข้อมูลที่ปิดไปไม่ได้แปลว่าแก๊งนั้นตายแล้ว

วิธีการโจมตีและเส้นทางการเงิน

Kairos อ้างในแชตว่าเข้าถึงระบบได้ด้วยการเดารหัสผ่านเพียงเท่านั้น สะท้อนว่าจุดเริ่มต้นของความเสียหายระดับล้านดอลลาร์อาจเป็นเพียงรหัสผ่านอ่อนแอที่ไม่มีการยืนยันตัวตนหลายปัจจัยป้องกัน การเจรจาดำเนินตามแบบแผนที่นักวิจัยคุ้นเคย โดยกลุ่มเปิดข้อเรียกร้องที่ 3 ล้านดอลลาร์ ฝั่งเทศมณฑลเริ่มต่อรองที่ 100,000 ดอลลาร์ แล้วขยับขึ้นเป็น 255,000 และ 430,000 ดอลลาร์ตามลำดับ ขณะที่ Kairos ลดลงมาที่ 2 ล้านดอลลาร์ก่อนตั้งตัวเลขสุดท้ายแบบไม่ต่อรองที่ 1 ล้านดอลลาร์พร้อมเส้นตายวันศุกร์ มิฉะนั้นไฟล์ทั้งหมดจะถูกเผยแพร่ กลุ่มใช้เครื่องมือกดดันครบสูตรทั้งตัวนับเวลาถอยหลัง เส้นตายกระชั้นชิด และคำขู่ว่าจะทิ้งโฟลเดอร์ที่อ่อนไหวที่สุดออกก่อน สุดท้ายเหยื่อจ่ายในวันที่ 13 มิถุนายน พ.ศ. 2568 เป็นเงินสิบเท่าของข้อเสนอแรกของตัวเอง

เงินราว 9.44 BTC ถูกแยกออกเป็นสองสายภายในไม่กี่ชั่วโมงหลังเข้ากระเป๋าที่เชื่อมโยงกับ Kairos แล้วถูกดันผ่านกระเป๋าหลายชั้นไปยังที่อยู่ฝากเงินที่ผูกกับกระดานแลกเปลี่ยนคริปโต Bybit, OKX และบริการรัสเซียชื่อ BELQI ซึ่งการตามรอยลักษณะนี้ให้เบาะแสแก่ผู้สืบสวนแต่ยังไม่ใช่ตัวบุคคล ที่สำคัญคือเงินที่จ่ายไปไม่ได้ซื้ออะไรที่จับต้องได้ เพราะ “หลักฐานการลบข้อมูล” ที่ Kairos ส่งมาเป็นเพียงรายการชื่อไฟล์ ซึ่งพิสูจน์ได้แค่ว่าผู้โจมตีเคยถือไฟล์เหล่านั้น ไม่ได้พิสูจน์ว่าต้นฉบับถูกลบทิ้งจริง รูปแบบการรีดไถแบบไม่เข้ารหัสนี้ไม่ใช่เรื่องใหม่ กลุ่ม Silent Ransom Group ซึ่งแตกตัวมาจาก Conti ก็ดำเนินการรีดไถด้วยข้อมูลล้วนกับสำนักงานกฎหมายและการเงินในสหรัฐฯ มาหลายปีโดยไม่มี encryptor เลย และแชตภายในของ Black Basta ที่หลุดเมื่อกุมภาพันธ์ พ.ศ. 2568 ก็เผยดีลที่มีเส้นทางการต่อรองแทบเหมือนกันคือจากข้อเรียกร้อง 1.5 ล้านดอลลาร์ ข้อเสนอโต้ 100,000 ดอลลาร์ และจบที่การจ่าย 1 ล้านดอลลาร์

ผลกระทบต่อไทย

หน่วยงานรัฐระดับท้องถิ่นของไทย ทั้งองค์กรปกครองส่วนท้องถิ่น เทศบาล และหน่วยงานระดับจังหวัด มีลักษณะใกล้เคียงกับเหยื่อในกรณีนี้อย่างมาก คืองบประมาณและบุคลากรด้านความมั่นคงปลอดภัยจำกัด แต่ถือครองข้อมูลประชาชนที่อ่อนไหวสูงทั้งทะเบียนราษฎร ข้อมูลสาธารณสุข ข้อมูลคดีความ และข้อมูลการเงิน ซึ่งเป็นเป้าหมายในอุดมคติของการรีดไถด้วยข้อมูล กรณีนี้ยังเป็นบทเรียนสำคัญเรื่องความโปร่งใส เพราะการจ่ายเงินลับ ๆ โดยไม่เปิดเผยต่อสาธารณะย่อมขัดกับหลักธรรมาภิบาล และสำหรับหน่วยงานไทยยังมีภาระตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ต้องแจ้งเหตุละเมิดข้อมูลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง การปกปิดเหตุการณ์จึงสร้างความเสี่ยงทางกฎหมายซ้อนขึ้นมาอีกชั้น นอกจากนี้แนวโน้มที่ผู้โจมตีเลิกเข้ารหัสแล้วหันมาใช้ข้อมูลเป็นเครื่องมือกดดันโดยตรง ทำให้มาตรการสำรองข้อมูลเพียงอย่างเดียวไม่เพียงพออีกต่อไป องค์กรต้องป้องกันไม่ให้ข้อมูลรั่วออกไปตั้งแต่ต้น

คำแนะนำ

ผู้ดูแลระบบหน่วยงานรัฐและองค์กรขนาดเล็กควรเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) กับทุกบัญชีที่เข้าถึงได้จากภายนอกทันที เนื่องจาก Kairos อ้างว่าเจาะระบบได้ด้วยการเดารหัสผ่านเท่านั้น ควรเฝ้าระวังการล็อกอินล้มเหลวซ้ำ ๆ การถ่ายโอนข้อมูลขาออกปริมาณมากผิดปกติ และการใช้บริการแชร์ไฟล์ชั่วคราวอย่างลิงก์ temp.sh ที่ Kairos ใช้ขนย้ายไฟล์ ควรแยกส่วนข้อมูลกฎหมาย ทรัพยากรบุคคล และข้อมูลประชาชนออกจากเครือข่ายส่วนอื่นด้วย network segmentation เตรียมแผนแถลงการณ์ต่อสาธารณะไว้ล่วงหน้าก่อนที่จะต้องใช้จริง และพึงระลึกว่าคำสัญญาว่าจะลบข้อมูลที่ขโมยไปมีค่าเท่ากับศูนย์ การจ่ายเงินจึงไม่ใช่หลักประกันใด ๆ หากเกิดเหตุควรประสานสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และ ThaiCERT พร้อมปฏิบัติตามขั้นตอนแจ้งเหตุละเมิดข้อมูลตาม PDPA อย่างครบถ้วน

แหล่งอ้างอิง