สรุปสั้น

ผู้ก่อภัยแรนซัมแวร์รายใหม่ที่ใช้ชื่อว่า Spirals สามารถบุกรุกองค์กรตั้งแต่การเข้าถึงครั้งแรกไปจนถึงการขโมยข้อมูลและเข้ารหัสไฟล์เสร็จสมบูรณ์ภายในเวลาไม่ถึง 24 ชั่วโมง การโจมตีเกิดขึ้นในเดือนมิถุนายนกับบริษัทให้บริการไอทีแห่งหนึ่งในภูมิภาคเอเชียใต้ หลังจากที่คนร้ายเจาะเซิร์ฟเวอร์ Internet Information Services (IIS) ที่เปิดสู่อินเทอร์เน็ตสาธารณะได้สำเร็จ นักวิจัยจากทีม Threat Hunter ของบริษัท Symantec ระบุว่าผู้โจมตีเคลื่อนไหวอย่างรวดเร็วหลังได้สิทธิ์เข้าถึงและอัปโหลดเว็บเชลล์ ASP.NET จากนั้นก็ข้ามการควบคุมบัญชีผู้ใช้ (UAC) เปิด Remote Desktop สร้างบัญชีในเครื่องเพื่อคงการเข้าถึง ดัมป์ข้อมูลรับรองจาก SAM registry hive และหน่วยความจำโปรเซส LSASS พยายามลบซอฟต์แวร์ความปลอดภัย ใช้ WMI เคลื่อนตัวไปยังระบบกว่าสิบเครื่อง และตั้งช่องทางเข้าถึงระยะไกลสำรองผ่าน revsocks, Chisel และ Cloudflare tunnel ก่อนปล่อยเพย์โหลดที่เขียนด้วยภาษา Rust เข้ารหัสไฟล์แล้วขู่แฉข้อมูล

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า นักวิจัยจากทีม Threat Hunter ของบริษัท Symantec ได้เปิดเผยการโจมตีของแรนซัมแวร์สายพันธุ์ใหม่ชื่อ Spirals ซึ่งดำเนินการทั้งกระบวนการเสร็จสิ้นภายในไม่ถึง 24 ชั่วโมง เหตุการณ์เกิดขึ้นในเดือนมิถุนายนกับบริษัทบริการไอทีในเอเชียใต้ โดยจุดเริ่มต้นคือการเจาะเซิร์ฟเวอร์ IIS ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต

หลังได้สิทธิ์เข้าถึงครั้งแรกและอัปโหลดเว็บเชลล์ ASP.NET ผู้ปฏิบัติการ Spirals ก็ข้ามการควบคุมบัญชีผู้ใช้ (User Account Control หรือ UAC) เปิดใช้ Remote Desktop และสร้างบัญชีผู้ใช้ในเครื่องเพื่อคงการเข้าถึงแบบถาวร นอกจากนี้ยังดัมป์ข้อมูลจาก SAM registry hive และหน่วยความจำของโปรเซส LSASS เพื่อพยายามดึงข้อมูลรับรอง นักสืบสวนของ Symantec ระบุว่าผู้ก่อภัยพยายามลบซอฟต์แวร์ความปลอดภัยบนโฮสต์ ใช้ WMI เคลื่อนตัวในแนวขวาง (Lateral Movement) ไปยังระบบมากกว่าสิบเครื่อง และสร้างช่องทางเข้าถึงระยะไกลแบบสำรองซ้ำซ้อนด้วยเครื่องมือ revsocks, Chisel และ Cloudflare tunnel

ต่อมาเพย์โหลด PowerShell ได้ปิดการทำงานของ Microsoft Defender ลบชุดนิยามภัยคุกคาม (Threat Definitions) และหยุดบริการที่เกี่ยวข้องกับผลิตภัณฑ์สำรองข้อมูล ฐานข้อมูล และเวอร์ชวลไลเซชันถึง 23 ตัว รวมถึง Veeam, VMware, Hyper-V, SQL Server, Oracle และ PostgreSQL เพื่อเตรียมพร้อมสำหรับขั้นตอนการเข้ารหัส การปล่อยเพย์โหลด Spirals (ชื่อไฟล์ bitsadmin.exe) เกิดขึ้นภายในเวลาไม่ถึง 24 ชั่วโมงหลังการบุกรุกครั้งแรก โดย Symantec อธิบายว่า “ผู้ปฏิบัติการเริ่มปล่อยเพย์โหลดแรนซัมแวร์ไปทั่วเครือข่ายของเหยื่อโดยใช้ PsExec ที่รันในสิทธิ์ SYSTEM เพย์โหลดถูกตั้งชื่อว่า bitsadmin.exe เพื่อปลอมตัวเป็นยูทิลิตี Windows ที่ถูกต้องซึ่งเกี่ยวข้องกับบริการ Background Intelligent Transfer Service”

รายละเอียดมัลแวร์

Spirals เป็นแรนซัมแวร์ตระกูลที่เขียนด้วยภาษา Rust ซึ่งใช้กุญแจ AES-128 ที่ถูกป้องกันด้วยกุญแจสาธารณะ ECDH P-256 ที่ผู้โจมตีควบคุมเอง เพื่อเร่งความเร็วในการเข้ารหัส มัลแวร์ใช้เทคนิคการเข้ารหัสแบบไม่ต่อเนื่อง (Intermittent Encryption) สำหรับไฟล์ที่มีขนาดใหญ่กว่า 5MB ซึ่งช่วยลดเวลาในการเข้ารหัสไฟล์ขนาดใหญ่ลง จากนั้นจะทิ้งจดหมายเรียกค่าไถ่ชื่อ RECOVERY_SECTION.log ไว้ที่ไดรฟ์ C:\ พร้อมคำแนะนำในการเจรจาค่าไถ่ เหยื่อจะถูกขู่ว่าข้อมูลที่ถูกขโมยจะถูกเปิดเผยต่อสาธารณะภายในหกวันหากไม่ยอมจ่ายเงิน ซึ่งเป็นรูปแบบการข่มขู่สองชั้น (Double Extortion) ที่พบบ่อยในแรนซัมแวร์ยุคใหม่ อย่างไรก็ตาม แม้จะมีพอร์ทัลสำหรับการข่มขู่ แต่ Symantec พบการโจมตีของ Spirals เพียงกรณีเดียวจนถึงขณะนี้ จึงยังไม่ชัดเจนว่าตระกูลใหม่นี้ตั้งใจใช้เพื่อการก่ออาชญากรรมไซเบอร์ในวงกว้าง หรือเป็นเพย์โหลดที่สร้างขึ้นเฉพาะสำหรับการโจมตีบริษัทบริการไอทีรายนี้

ผลกระทบต่อไทย

บริษัทบริการไอที (IT services / MSP) เป็นเป้าหมายที่มีมูลค่าสูงสำหรับแรนซัมแวร์ เพราะการเจาะเข้าเพียงรายเดียวอาจเปิดทางไปยังลูกค้าจำนวนมากที่บริษัทดูแลอยู่ องค์กรไทยจำนวนมากพึ่งพาผู้ให้บริการไอทีภายนอกและมีเซิร์ฟเวอร์ IIS ที่เปิดสู่อินเทอร์เน็ต ซึ่งเป็นช่องทางที่ Spirals ใช้เจาะเข้ามา ความเร็วในการโจมตีที่เสร็จภายในไม่ถึง 24 ชั่วโมงเป็นสิ่งที่น่ากังวลอย่างยิ่ง เพราะทีมความปลอดภัยแทบไม่มีเวลาตรวจจับและตอบสนองก่อนที่ข้อมูลจะถูกขโมยและเข้ารหัส การที่คนร้ายจงใจหยุดบริการสำรองข้อมูลอย่าง Veeam ก่อนเข้ารหัส ยังหมายความว่าองค์กรที่พึ่งการสำรองข้อมูลเพียงอย่างเดียวโดยไม่แยกระบบให้ปลอดภัย อาจกู้คืนข้อมูลไม่ได้

คำแนะนำ

ผู้ดูแลระบบควรลดการเปิดเซิร์ฟเวอร์ IIS และบริการอื่นสู่อินเทอร์เน็ตเท่าที่จำเป็น พร้อมอัปเดตแพตช์และตรวจหาเว็บเชลล์ที่ผิดปกติอย่างสม่ำเสมอ ควรจำกัดสิทธิ์บัญชีตามหลักสิทธิ์น้อยที่สุด เปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) และเฝ้าระวังพฤติกรรมผิดปกติ เช่น การเปิด Remote Desktop การสร้างบัญชีใหม่ การดัมป์ LSASS/SAM และการใช้เครื่องมืออย่าง PsExec, revsocks, Chisel หรือ Cloudflare tunnel ที่ไม่ควรมี สิ่งสำคัญที่สุดคือควรจัดเก็บสำรองข้อมูลแบบออฟไลน์หรือแยกระบบ (Immutable/Offline Backup) ที่แรนซัมแวร์เข้าถึงและลบไม่ได้ พร้อมทดสอบการกู้คืนเป็นประจำ และวางแผนตอบสนองเหตุการณ์ให้พร้อมรับมือการโจมตีที่เกิดขึ้นรวดเร็วภายในไม่กี่ชั่วโมง

แหล่งอ้างอิง