ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

32 ข่าว

สมาชิกแรนซัมแวร์ Ryuk รับสารภาพในสหรัฐฯ เผชิญโทษจำคุกสูงสุด 15 ปี

Ryuk ransomware member pleads guilty in the US faces 15 years
ชายชาวอาร์เมเนียวัย 34 ปี นายคาเรน เซโรโบวิช วาร์ดันยาน รับสารภาพต่อศาลสหรัฐฯ ในข้อหาแฮ็กบริษัทอเมริกันและปล่อยแรนซัมแวร์ Ryuk เข้ารหัสระบบ เขาถูกจับที่กรุงเคียฟเมื่อเมษายน 2568 แล้วส่งตัวข้ามแดนมาสหรัฐฯ ในบทบาทผู้จัดหาการเข้าถึงเครือข่ายองค์กร คดีระบุว่าเขาช่วยปล่อย Ryuk บนเครือข่ายองค์กรอเมริกันหลายแห่งช่วงพฤศจิกายน 2562 ถึงเมษายน 2563 กลุ่มได้รับบิตคอยน์ราว 1,610 BTC มูลค่าประมาณ 15 ล้านดอลลาร์ เขาเผชิญโทษจำคุกสูงสุด 15 ปีและตกลงชดใช้กว่า 1.1 ล้านดอลลาร์

Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน

Microsoft dissects GigaWiper Windows backdoor linked to Iran-nexus group
บริษัท Microsoft แกะมัลแวร์ทำลายล้างบน Windows ชื่อ GigaWiper ที่รวมเครื่องมือทำลายเก่า 3 ตัวไว้เป็นแพลตฟอร์มเดียวให้ผู้โจมตีเลือกสั่งได้ ทั้งล้างดิสก์ทั้งลูก เขียนทับไดรฟ์ Windows และแรนซัมแวร์ปลอมที่ไม่เคยเก็บกุญแจ นอกจากนี้ยังแอบดูจอ อัดหน้าจอ และเปิด VNC ซ่อน โดยปลอมตัวเป็น OneDrive และส่งข้อมูลผ่าน RabbitMQ/Redis/MinIO ไฟล์ชุดเดียวกันถูก Binary Defense เรียกว่า BLUERABBIT และโยงกับกลุ่มอิหร่าน CyberAv3ngers ที่เชื่อมโยงกับ IRGC

The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก

the gentlemen raas ransomware cybersecurity attack industries worldwide av killers scaling faster
กลุ่มแรนซัมแวร์ The Gentlemen (Microsoft ติดตามในชื่อ Storm-2697) แตกตัวจาก Qilin กลางปี 2025 พุ่งขึ้นเป็นภัย Tier-1 เจาะเหยื่อกว่า 500 รายใน 70+ ประเทศ คิดเป็น 10% ของแรนซัมแวร์ทั่วโลกในเดือนเมษายน 2026 จุดเด่นคือชุด GentleKiller ที่ใช้ BYOVD อย่างน้อย 8 สายพันธุ์ปิดโปรเซสความปลอดภัยกว่า 400 ตัวจาก 48 ผู้ผลิต ควบกับตัวเข้ารหัส Go ที่แพร่ตัวเองได้ ฐานข้อมูลภายในกลุ่มรั่วเผยแชต 3,366 ข้อความและรายชื่อเหยื่อ 1,570+ ราย

JadePuffer — แรนซัมแวร์ตัวแรกที่ AI Agent ลงมือโจมตีเองครบทุกขั้นตอน ตั้งแต่ลาดตระเวนจนถึงเข้ารหัส

JadePuffer ransomware fully automated by an autonomous AI LLM agent
บริษัท Sysdig เปิดเผยสิ่งที่เชื่อว่าเป็นกรณีแรกที่มีการบันทึกของปฏิบัติการแรนซัมแวร์ที่ดำเนินการโดย AI Agent ตั้งแต่ต้นจนจบ ใช้ชื่อ JadePuffer โดย LLM Agent ทำเองทั้งการลาดตระเวน ขโมยข้อมูลรับรอง เคลื่อนที่ในเครือข่าย ฝังตัว ยกระดับสิทธิ์ และเข้ารหัสข้อมูล เข้าถึงระบบผ่านช่องโหว่ CVE-2025-3248 ใน Langflow เฟรมเวิร์กสร้างแอป LLM ยอดนิยม AI ยังปรับตัวแก้ข้อผิดพลาดแบบเรียลไทม์ ครั้งหนึ่งแก้ล็อกอินที่ล้มเหลวได้ใน 31 วินาที Sysdig ชี้ว่ายุคของ ‘agentic threat actors’ มาถึงแล้ว

พบเฟรมเวิร์กมัลแวร์ใหม่ 'Avalon' รวมความสามารถ ransomware CrownX — ขโมยข้อมูล เคลื่อนที่ในเครือข่าย และทำลายระบบกู้คืนในตัวเดียว

avalon malware framework crownx ransomware blackpoint phishing
บริษัท Blackpoint Cyber เปิดเผยเฟรมเวิร์กมัลแวร์แบบโมดูลาร์ใหม่ชื่อ Avalon ที่แพร่ผ่านห่วงโซ่ฟิชชิงหลายขั้นและหลบเลี่ยงการตรวจจับได้ Avalon รวมการขโมยข้อมูลรับรอง การเคลื่อนที่ในเครือข่าย การเข้าถึงระยะไกล การทำลายระบบกู้คืน และการเข้ารหัสเรียกค่าไถ่ไว้ในตัวเดียว โดยมีคอมโพเนนต์ ransomware ชื่อ CrownX พบร่องรอยว่าใช้ AI ช่วยพัฒนา สะท้อนว่า AI กำลังลดกำแพงการสร้างมัลแวร์ซับซ้อน

หน่วยงานรัฐท้องถิ่นสหรัฐฯ จ่าย 1 ล้านดอลลาร์ให้กลุ่ม Kairos — รีดไถด้วยข้อมูลที่ขโมยโดยไม่เข้ารหัสแม้แต่ไฟล์เดียว

Kairos data-theft extortion case where US government entity paid 1 million dollars in Bitcoin
นักวิจัยจาก Ransom-ISAC เปิดเผยกรณีหน่วยงานรัฐท้องถิ่นสหรัฐฯ จ่ายเงินราว 1 ล้านดอลลาร์ให้กลุ่ม Kairos แลกกับการไม่เผยแพร่ข้อมูลที่ถูกขโมย หลักฐานจากแชตเจรจาที่หลุดชี้ว่าเหยื่อคือ Union County รัฐโอไฮโอ ซึ่งข้อมูลประชาชนกว่า 45,000 รายรั่วไหลเมื่อปี 2568 กลุ่มนี้ไม่ได้เข้ารหัสเครื่องใดเลย ใช้ข้อมูลที่ขโมยเป็นเครื่องมือกดดันเพียงอย่างเดียว การเจรจาเริ่มจากข้อเรียกร้อง 3 ล้านดอลลาร์และจบที่ 1 ล้านดอลลาร์ จ่ายเป็น Bitcoin ราว 9.44 BTC การตามรอยบล็อกเชนพบเงินไหลไปยัง Bybit, OKX และบริการรัสเซีย BELQI

FortiBleed เชื่อมโยงแรนซัมแวร์ INC และ Lynx — ขโมยกว่า 110 ล้าน credential จาก FortiGate

fortibleed fortigate ransomware credential fortibleed credential theft linked inc
SOCRadar เชื่อมโยงแคมเปญ FortiBleed ที่ขโมย credential จาก FortiGate เข้ากับปฏิบัติการแรนซัมแวร์ INC และ Lynx เป็นครั้งแรก โดยพบผู้ปฏิบัติการล็อกอินเข้าแผงเจรจาของทั้งสองกลุ่ม แคมเปญนี้สแกน FortiGate ราว 430,000 เครื่องทั่วโลก เก็บ credential ได้กว่า 110 ล้านชุดผ่าน packet sniffer นำไปสู่การวาง ransomware อย่างน้อย 12 ครั้ง เชื่อว่าเป็นฝีมือกลุ่มพูดรัสเซียราว 20 คนที่ทำหน้าที่ initial access broker และยังเล็งอุปกรณ์ Citrix เป็นเป้าถัดไป

สหรัฐฯ ส่งผู้ต้องสงสัยกลุ่ม Scattered Spider วัย 19 ปีข้ามแดนจากฟินแลนด์ ขึ้นศาลข้อหาแฮ็กและฉ้อโกง

19-year-old Scattered Spider suspect extradited to face US hacking charges
กระทรวงยุติธรรมสหรัฐฯ ประกาศส่งตัวนาย Peter Stokes วัย 19 ปี ผู้ต้องสงสัยสมาชิกกลุ่ม Scattered Spider ข้ามแดนจากฟินแลนด์มาขึ้นศาลชิคาโก ข้อหาสมคบคิด บุกรุกคอมพิวเตอร์ และฉ้อโกง เอกสารศาลระบุการบุกรุกอย่างน้อย 4 ครั้ง รวมกรณีเรียกค่าไถ่ราว 8 ล้านดอลลาร์ ถือเป็นส่วนหนึ่งของการกวาดล้างเครือข่ายที่โจมตีคาสิโน ค้าปลีก และสายการบิน

แรนซัมแวร์ในเบราว์เซอร์ที่ AI สร้าง — DeepSeek ฉวย Chromium API ข้ามทุกแพลตฟอร์ม

deepseek ransomware malware ai android cybersecurity generated browser ransomware abuses chromium api
นักวิจัย Check Point พบมัลแวร์ตัวใหม่ที่ถูกสร้างด้วย DeepSeek ซึ่งเชื่อมแนวคิดแรนซัมแวร์ในเบราว์เซอร์ที่เคยถูกมองว่าเป็นไปไม่ได้ เข้ากับความสามารถจริงของ File System Access API จนกลายเป็นการโจมตีที่ทำงานได้ในเบราว์เซอร์ล้วน ตัวอย่างเป็น Python Flask ชื่อ InfernoGrabber v9.0 ที่ขโมยข้อมูลและเรียกค่าไถ่ Bitcoin การโจมตีทำงานได้บน Windows, macOS, Linux, Android และ Edge เป็นครั้งแรกที่โมเดล AI หาเส้นทางโจมตีใหม่ได้เอง ยังไม่พบการใช้จริงในโลก

อีเมลปลอมอ้าง Interpol หลอกธุรกิจขนาดเล็กทั่วโลกให้ติดแรนซัมแวร์

ransomware interpol ton war fake interpol investigation emails push ransomware proton drive
Bitdefender Antispam Lab พบแคมเปญอีเมลปลอมที่อ้างเป็นเจ้าหน้าที่ Interpol กดดันให้พนักงานธุรกิจขนาดเล็กเปิดไฟล์ที่อ้างว่าเป็นหลักฐานการสอบสวน อีเมลชี้ไปยังลิงก์ Proton Drive ที่มีไฟล์ archive.rar ล็อกรหัส เมื่อเปิดจะปล่อยแรนซัมแวร์ที่ซ่อนเป็นไฟล์วิดีโอ มัลแวร์เข้ารหัสไฟล์แล้วสั่งให้ติดต่อผ่าน Tox แคมเปญนี้โจมตีองค์กรทั่วยุโรป เอเชีย ตะวันออกกลาง และสหรัฐฯ องค์กรควรระวังอีเมลแจ้งสอบสวนที่ไม่คาดคิดและไฟล์บีบอัดล็อกรหัส