ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

32 ข่าว

CISA ยืนยันกลุ่มแรนซัมแวร์เริ่มใช้ช่องโหว่ BlueHammer ใน Windows Defender โจมตีจริงแล้ว

CISA ยืนยันกลุ่มแรนซัมแวร์ใช้ช่องโหว่ BlueHammer ใน Windows Defender โจมตีจริง
หน่วยงาน CISA ยืนยันว่ากลุ่มแรนซัมแวร์เริ่มใช้ช่องโหว่ BlueHammer (CVE-2026-33825) ใน Windows Defender โจมตีจริงแล้ว หลังช่องโหว่นี้ถูกนักวิจัย Nightmare Eclipse ปล่อย PoC สู่สาธารณะตั้งแต่เมษายนเพื่อประท้วงการจัดการของ Microsoft ช่องโหว่เปิดทางให้ผู้โจมตีที่มีสิทธิ์ต่ำเข้าถึงฐานข้อมูล SAM แล้วยกระดับเป็น SYSTEM ได้ Microsoft แพตช์แล้วตั้งแต่เมษายน แต่เครื่องที่ยังไม่อัปเดตยังเสี่ยงถูกแรนซัมแวร์โจมตี

ส่วนขยาย Edge อันตราย 'Edgecution' ใช้ Native Messaging เป็นสะพานสู่มัลแวร์ — เชื่อมโยง ransomware Payouts Kings

Malicious Microsoft Edge extension Edgecution abusing Native Messaging
Zscaler เปิดเผยส่วนขยาย Microsoft Edge อันตรายชื่อ Edgecution ที่ถูกใช้ในการโจมตี ransomware เพื่อหลุดออกจาก sandbox ของเบราว์เซอร์และวาง backdoor ที่เขียนด้วย Python มัลแวร์อาศัยโปรโตคอล Chrome Native Messaging เป็นสะพานเชื่อมส่วนขยายกับแอปบนเครื่อง การโจมตีเริ่มจากผู้โจมตีปลอมเป็นทีม IT บน Microsoft Teams เชื่อว่าเป็นฝีมือ initial access broker ที่เชื่อมโยงกับกลุ่ม Payouts Kings

พบ RAT ตัวใหม่ 'Mistic' เปิดประตูสู่ ransomware หลายตระกูล — IAB Woodgnat เชื่อมโยง Qilin, Akira, Black Basta

New Mistic RAT opens door to several ransomware families
Symantec และ Carbon Black ของ Broadcom เปิดเผยว่า initial access broker ชื่อ Woodgnat (หรือ KongTuke) ที่เคลื่อนไหวตั้งแต่พฤษภาคม 2024 กำลังใช้ RAT ตัวใหม่ชื่อ Backdoor.Mistic โจมตีองค์กรหลายอุตสาหกรรมตั้งแต่เมษายน 2026 กลุ่มนี้เชื่อมโยงกับ ransomware อย่าง Qilin, Interlock, Rhysida, Akira, 8Base และ Black Basta ใช้เทคนิค ClickFix, FileFix และ Microsoft Teams หลอกให้เหยื่อรันคำสั่ง PowerShell

แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน

Hackers exploit unpatched SharePoint servers to deploy ransomware and backdoors
Microsoft DART เปิดเผยการโจมตีเซิร์ฟเวอร์ SharePoint on-premises ที่ไม่แพตช์ โดยกลุ่ม Storm-2603 ใช้ช่องโหว่ CVE-2025-49706 และ CVE-2025-49704 เจาะเข้าระบบตั้งแต่กลางปี 2025 ติดตั้ง ransomware พร้อม backdoor และใช้เทคนิค BYOVD ปิดระบบป้องกัน ที่ซับซ้อนคือพบกลุ่มที่สองทำงานคู่ขนานในเครือข่ายเดียวกันพร้อมขโมยไฟล์ NTDS.dit องค์กรที่ใช้ SharePoint รุ่นเก่าเสี่ยงสูง

INTERPOL เตือนภัยไซเบอร์เอเชีย-แปซิฟิกพุ่งทะยาน — ฟิชชิง แรนซัมแวร์ และสแกม AI ระบาดหนัก สูญเสีย 37,000 ล้านดอลลาร์

INTERPOL warns phishing ransomware and AI scams rising across Asia-Pacific
INTERPOL ออกรายงานประเมินภัยคุกคามไซเบอร์เอเชียและแปซิฟิกใต้ 2025/2026 ชี้ภัยไซเบอร์เพิ่มขึ้นรุนแรง โดยฟิชชิงเป็นภัยที่แพร่หลายและสร้างความเสียหายทางการเงินมากที่สุด ภูมิภาคนี้พบการโจมตีแรนซัมแวร์กว่า 135,000 ครั้งในปี 2024 และความสูญเสียจากสแกม AI สูงถึง 37,000 ล้านดอลลาร์ ศูนย์หลอกลวงในกัมพูชา ลาว เมียนมาใช้แรงงานบังคับและ deepfake หลอกเหยื่อทั่วโลก

แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี

The Gentlemen RaaS uses GentleKiller EDR killer framework targeting 400 security processes
บริษัท ESET เปิดโปงปฏิบัติการแรนซัมแวร์ The Gentlemen ที่พัฒนาชุดเครื่องมือฆ่า EDR ชื่อ GentleKiller แจกให้สมาชิก (affiliate) ใช้ปิดระบบป้องกันก่อนปล่อยตัวเข้ารหัส GentleKiller มี 8 รูปแบบ แต่ละแบบปลอมเป็นผลิตภัณฑ์ถูกกฎหมายและใช้เทคนิค BYOVD เล็งหา 400 โปรเซสจาก 48 โปรแกรมความปลอดภัย กลุ่มนี้อ้างเหยื่อ 504 รายส่วนใหญ่ในเอเชียตะวันออกเฉียงใต้ และยังพบ infostealer ชื่อ OxideHarvest ขโมยข้อมูลจากเบราว์เซอร์

Kodak ยืนยันถูกแฮ็ก — กลุ่ม ShinyHunters อ้างขโมยข้อมูลลูกค้ากว่า 2.2 ล้านรายการ ขู่ปล่อยข้อมูลถ้าไม่จ่ายค่าไถ่

Kodak data breach by ShinyHunters cybercrime group
กลุ่มแฮ็กเกอร์ ShinyHunters ประกาศบนเว็บไซต์ของกลุ่มว่าได้เจาะระบบบริษัท Kodak และขโมยข้อมูลส่วนบุคคลของลูกค้ากว่า 2.2 ล้านรายการพร้อมข้อมูลองค์กร โดยขู่จะปล่อยข้อมูลทั้งหมดในวันที่ 18 มิถุนายนหากไม่ได้รับค่าไถ่ บริษัท Kodak ยืนยันเหตุการณ์แล้วว่ามีบุคคลภายนอกเข้าถึงข้อมูลจำนวนจำกัดโดยไม่ได้รับอนุญาต และกำลังสอบสวนร่วมกับผู้เชี่ยวชาญภายนอกและหน่วยบังคับใช้กฎหมาย

DragonForce Ransomware ใช้ Microsoft Teams Relay ซ่อนการสื่อสาร C2 — เทคนิคใหม่ที่พบครั้งแรกในโลกจริง

DragonForce ransomware Microsoft Teams TURN relay C2 traffic hiding
กลุ่ม DragonForce ransomware ใช้มัลแวร์ชื่อ Backdoor.Turn ซ่อนการสื่อสาร C2 ในโครงสร้าง TURN relay ของ Microsoft Teams เป็นครั้งแรกที่พบในโลกจริง ทำให้ defender เห็นเป็นทราฟฟิก Teams ปกติ พร้อมใช้เทคนิค BYOVD ผ่าน driver หลายตัวเพื่อปิดเครื่องมือรักษาความปลอดภัย

ระบบนิเวศแรนซัมแวร์รวมตัวรอบอดีตสมาชิก LockBit — กลุ่มใหม่ Hyflock และ The Gentlemen เติบโตอย่างรวดเร็ว

Ransomware ecosystem consolidation around LockBit alumni and new RaaS groups
รายงาน Q1/2026 พบเหยื่อแรนซัมแวร์ 2,122 รายสูงสุดเป็นอันดับ 2 ตลอดกาล กลุ่มใหม่ Hyflock และ The Gentlemen ที่อ้างสายสัมพันธ์กับ LockBit และ Qilin เติบโตอย่างรวดเร็ว โดย The Gentlemen ขยายเหยื่อ 315% ในไตรมาสเดียว กลุ่ม 10 อันดับแรกครองส่วนแบ่ง 71% ของเหยื่อทั้งหมด สะท้อนการรวมตัวของตลาดแรนซัมแวร์

The Gentlemen Ransomware มีเหยื่อ 478 ราย — ใช้ AI พัฒนามัลแวร์ แพร่กระจายแบบ Worm ข้ามเครือข่ายได้เอง

The Gentlemen ransomware operation analysis
PRODAFT เปิดเบื้องหลังกลุ่ม The Gentlemen (Phantom Mantis) ที่มีเหยื่อ 478 รายแล้ว นำโดยอาชญากรไซเบอร์ชาวรัสเซียที่ใช้ AI ช่วยพัฒนา ransomware เวอร์ชันใหม่มีความสามารถแพร่กระจายแบบ worm ข้ามเครือข่ายผ่าน SSH ได้เอง เหยื่อส่วนใหญ่กระจายอยู่ในไทย สหราชอาณาจักร บราซิล เยอรมนี และอินเดีย