Gentlemen Ransomware โจมตี Soja de Portugal รั่วไหลข้อมูล 491GB

Gentlemen Ransomware โจมตี Soja de Portugal รั่วไหลข้อมูล 491GB

กลุ่มแรนซัมแวร์ Gentlemen ได้ออกมาอ้างความรับผิดชอบต่อการโจมตี Soja de Portugal ซึ่งเป็นหนึ่งในบริษัทเกษตรชั้นนำของโปรตุเกส ส่งผลให้ข้อมูลองค์กรที่สำคัญขนาด 491GB รั่วไหล ตามรายงานที่เผยแพร่โดย DeXpose ข้อมูลที่ถูกบุกรุกประกอบด้วยบันทึกระบบ SAP ข้อมูลพนักงาน และเอกสารทางการเงิน บทความต้นทางระบุวันที่ 4 มิถุนายน 2026 ซึ่งดูเหมือนจะเป็นความผิดพลาดในการรายงานหรือการเผยแพร่ที่ระบุวันที่ในอนาคต ผู้อ่านควรทราบว่าความถูกต้องตามข้อเท็จจริงของวันที่ดังกล่าวไม่สามารถยืนยันได้อย่างอิสระ แม้ว่าแหล่งข่าวกรองภัยคุกคามหลายแห่งจะยืนยันว่าการรั่วไหลของข้อมูลนี้เป็นเหตุการณ์ที่เกิดขึ้นเมื่อไม่นานมานี้

เหตุการณ์นี้เพิ่มเข้ากับรายการโจมตีที่เพิ่มขึ้นซึ่งเชื่อว่าเป็นฝีมือของกลุ่ม The Gentlemen ซึ่งเป็นปฏิบัติการแรนซัมแวร์แบบบริการ (RaaS) ที่นักวิจัยระบุว่าเริ่มปรากฏตัวต่อสาธารณะในช่วงครึ่งหลังของปี 2025 และหลังจากนั้นก็อ้างว่ามีเหยื่อหลายร้อยรายในหลากหลายอุตสาหกรรมและประเทศ

The Gentlemen คือใคร และทำไมพวกเขาถึงมีประสิทธิภาพ

กลุ่ม The Gentlemen ดำเนินการในรูปแบบแพลตฟอร์มแรนซัมแวร์แบบบริการ (RaaS) หมายความว่านักพัฒนาหลักอนุญาตให้ผู้โจมตีในเครือข่ายใช้มัลแวร์และโครงสร้างพื้นฐานของพวกเขาเพื่อดำเนินแคมเปญต่างๆ โมเดลนี้ช่วยลดอุปสรรคในการเข้าสู่วงการอาชญากรรมไซเบอร์ และทำให้การสืบหาต้นตอทำได้ยากขึ้นสำหรับผู้สืบสวน

สิ่งที่ทำให้กลุ่มนี้แตกต่างจากปฏิบัติการแรนซัมแวร์รุ่นเก่าคือการใช้การขู่กรรโชกสองทางอย่างต่อเนื่อง: พวกเขาเข้ารหัสข้อมูลของเหยื่อและขโมยข้อมูลออกมาก่อนที่จะสั่งการเข้ารหัส นั่นหมายความว่าแม้องค์กรที่มีขั้นตอนการสำรองข้อมูลที่แข็งแกร่งก็ต้องเผชิญกับภัยคุกคามที่สอง นั่นคือการเผยแพร่หรือขายข้อมูลที่ถูกขโมยหากไม่จ่ายค่าไถ่ ในกรณีของ Soja de Portugal กลุ่มดังกล่าวดูเหมือนจะทำตามภัยคุกคามนั้น โดยมีรายงานว่าข้อมูล 491GB ถูกเผยแพร่หรือทำให้เข้าถึงได้ผ่านโครงสร้างพื้นฐานการรั่วไหลของพวกเขา

นักวิจัยตั้งข้อสังเกตว่าชุดเครื่องมือของ The Gentlemen มุ่งเป้าไปที่ Windows, Linux, ไฮเปอร์ไวเซอร์ ESXi และอุปกรณ์ NAS ทำให้พวกเขาสามารถรบกวนสภาพแวดล้อมทางธุรกิจได้หลากหลาย ตั้งแต่เครือข่ายสำนักงานแบบดั้งเดิมไปจนถึงศูนย์ข้อมูลเสมือน

ข้อมูลอะไรที่รั่วไหลและทำไมจึงสำคัญ

ประเภทของข้อมูลที่เกี่ยวข้องในการรั่วไหลของ Soja de Portugal นั้นควรค่าแก่การพิจารณาอย่างละเอียด ข้อมูล SAP มีความสำคัญเป็นพิเศษ: SAP เป็นแพลตฟอร์มการวางแผนทรัพยากรองค์กร (ERP) ที่องค์กรขนาดใหญ่ใช้เพื่อจัดการทุกอย่างตั้งแต่ห่วงโซ่อุปทานและการจัดซื้อไปจนถึงเงินเดือนและบัญชี การรั่วไหลของข้อมูล SAP สามารถเปิดเผยสัญญาผู้ขาย โครงสร้างราคา การคาดการณ์ทางการเงินภายใน และรายละเอียดค่าตอบแทนพนักงาน ทั้งหมดในที่เดียว

บันทึกพนักงาน ซึ่งเป็นอีกประเภทหนึ่งที่ได้รับการยืนยันในการรั่วไหลครั้งนี้ โดยทั่วไปจะประกอบด้วยชื่อ หมายเลขประจำตัว รายละเอียดการติดต่อ และบางครั้งรวมถึงข้อมูลธนาคารสำหรับเงินเดือน เมื่อข้อมูลนี้รั่วไหล จะสร้างความเสี่ยงต่อเนื่องให้กับพนักงานรายบุคคล ไม่ใช่แค่ตัวองค์กรเอง

รูปแบบการมุ่งเป้าไปที่ระบบธุรกิจขององค์กรนี้ไม่ใช่เรื่องเฉพาะในการโจมตีครั้งนี้ เหตุการณ์ที่คล้ายคลึงกัน เช่น การโจมตีของแรนซัมแวร์ Play บน Ampex Data Systems ได้แสดงให้เห็นว่าผู้โจมตีให้ความสำคัญกับคลังข้อมูลที่มีมูลค่าสูง ซึ่งรวมถึงข้อมูลส่วนบุคคลที่ระบุตัวตนได้ของพนักงานและบันทึกทางการเงิน เนื่องจากข้อมูลเหล่านี้มีทั้งอำนาจต่อรองค่าไถ่และมูลค่าการขายต่อในตลาดอาชญากรรม

บริษัทเกษตรและการผลิตกำลังตกเป็นเป้าหมายที่น่าสนใจมากขึ้น เนื่องจากมักใช้เทคโนโลยีปฏิบัติการแบบเก่าผสมกับซอฟต์แวร์องค์กรสมัยใหม่ ทำให้เกิดพื้นผิวการโจมตีที่ใหญ่กว่าและไม่สม่ำเสมอกว่าองค์กรที่สร้างโครงสร้างพื้นฐานเมื่อไม่นานมานี้

ทำไมการรักษาความปลอดภัยแค่ขอบเขตเครือข่ายอย่างเดียวจึงไม่เพียงพอ

บทเรียนที่สำคัญที่สุดประการหนึ่งจากเหตุการณ์เช่นนี้คือ การป้องกันขอบเขตแบบดั้งเดิม ไฟร์วอลล์ ซอฟต์แวร์แอนตี้ไวรัส และการตรวจสอบเครือข่าย มีความจำเป็นแต่ไม่เพียงพอ กลุ่ม The Gentlemen และปฏิบัติการในลักษณะเดียวกันเป็นที่รู้กันว่าได้รับการเข้าถึงครั้งแรกผ่านแคมเปญฟิชชิ่ง พอร์ต Remote Desktop Protocol (RDP) ที่เปิดเผย และข้อมูลประจำตัวที่ถูกบุกรุก เมื่อเข้าไปในเครือข่ายแล้ว พวกมันจะเคลื่อนที่ไปด้านข้าง บ่อยครั้งเป็นเวลาหลายวันหรือหลายสัปดาห์ ก่อนที่จะปล่อยแรนซัมแวร์

นี่คือเหตุผลที่ผู้เชี่ยวชาญด้านความปลอดภัยสนับสนุนแนวทางการรักษาความปลอดภัยแบบหลายชั้นสำหรับองค์กรมากขึ้น บางชั้นที่มีประสิทธิภาพสูงสุดได้แก่:

• การเข้าถึงเครือข่ายแบบ Zero-trust: แทนที่จะเชื่อถืออุปกรณ์หรือผู้ใช้ใดๆ ภายในขอบเขตเครือข่าย สถาปัตยกรรม Zero-trust ต้องการการยืนยันตัวตนและสุขภาพของอุปกรณ์อย่างต่อเนื่องก่อนที่จะอนุญาตให้เข้าถึงทรัพยากรใดๆ
• การเข้าถึงระยะไกลที่เข้ารหัส: VPN และเครื่องมือที่คล้ายกันปกป้องข้อมูลระหว่างการส่งผ่านและลดความเสี่ยงในการดักจับข้อมูลประจำตัวบนการเชื่อมต่อที่ไม่มีการป้องกัน โดยเฉพาะอย่างยิ่งสำหรับพนักงานที่ทำงานระยะไกลและแบบผสมผสานที่เข้าถึงระบบที่สำคัญ
• การแบ่งส่วนเครือข่าย: การแยกระบบอย่าง SAP ออกจากเวิร์กสเตชันของพนักงานทั่วไปช่วยจำกัดความสามารถของผู้โจมตีในการเคลื่อนที่ไปด้านข้างหลังจากได้จุดตั้งต้นครั้งแรก
• การตรวจจับและตอบสนองทางปลายทาง (EDR): แตกต่างจากแอนตี้ไวรัสรุ่นเก่า เครื่องมือ EDR จะตรวจสอบความผิดปกติทางพฤติกรรมที่อาจบ่งชี้ว่ามีผู้โจมตีปฏิบัติการภายในเครือข่าย แม้กระทั่งก่อนที่มัลแวร์จะถูกปรับใช้

เหตุการณ์ การโจมตีของแรนซัมแวร์ ChipSoft ในเนเธอร์แลนด์ แสดงให้เห็นรูปแบบความล้มเหลวที่คล้ายคลึงกัน: ผู้โจมตีสามารถเข้าถึงและขโมยข้อมูลปริมาณมากได้เนื่องจากระบบภายในไม่ได้ถูกแบ่งส่วนอย่างเพียงพอ และการควบคุมการเข้าถึงไม่ละเอียดพอที่จะจำกัดการรั่วไหลเมื่อบรรลุการเข้าสู่ครั้งแรก

สิ่งนี้มีความหมายอย่างไรต่อคุณ

ไม่ว่าองค์กรของคุณจะเป็นบริษัทข้ามชาติหรือธุรกิจระดับภูมิภาคเช่น Soja de Portugal การคำนวณความเสี่ยงได้เปลี่ยนไปแล้ว กลุ่มแรนซัมแวร์ที่มีโมเดล RaaS สามารถปรับใช้การโจมตีในวงกว้าง โดยมุ่งเป้าไปยังภาคส่วนใดก็ตามที่มีข้อมูลที่มีค่า บริษัทเกษตร บริษัทโลจิสติกส์ และผู้ผลิตอาจไม่เคยมองว่าตนเองเป็นเป้าหมายที่มีมูลค่าสูง แต่ข้อมูลที่พวกเขาเก็บไว้ในระบบ ERP และ HR บอกเล่าเรื่องราวที่แตกต่างออกไป

นี่คือขั้นตอนที่เป็นรูปธรรมที่องค์กรสามารถนำไปปฏิบัติเพื่อลดความเสี่ยง:

• ตรวจสอบจุดเชื่อมต่อระยะไกล: ระบุบริการที่หันหน้าเข้าหาอินเทอร์เน็ตทั้งหมด โดยเฉพาะเกตเวย์ RDP และ VPN และตรวจสอบให้แน่ใจว่ามีการรักษาความปลอดภัยด้วยการยืนยันตัวตนแบบหลายปัจจัยและข้อมูลประจำตัวที่อัปเดตเป็นประจำ
• ใช้การเข้าถึงแบบสิทธิ์น้อยที่สุด: พนักงานและระบบควรเข้าถึงได้เฉพาะข้อมูลและแอปพลิเคชันที่จำเป็นจริงๆ สิทธิ์การเข้าถึงที่กว้างขวางจะเร่งการเคลื่อนที่ด้านข้างหลังจากการรั่วไหล
• ทดสอบข้อมูลสำรองของคุณ: ข้อมูลสำรองแบบออฟไลน์หรือที่ไม่สามารถเปลี่ยนแปลงได้เป็นแนวป้องกันสำคัญต่อแรนซัมแวร์ที่ใช้การเข้ารหัส แต่จะมีผลก็ต่อเมื่อมีการทดสอบอย่างสม่ำเสมอและยืนยันว่าสามารถกู้คืนได้
• การจำแนกประเภทข้อมูลและการเข้ารหัสข้อมูลในขณะพัก: การรู้ว่าข้อมูลใดมีความละเอียดอ่อนที่สุดและการทำให้แน่ใจว่ามีการเข้ารหัสแม้ในขณะจัดเก็บภายใน จะลดคุณค่าของไฟล์ที่ถูกขโมยต่อผู้โจมตี

การรั่วไหลของ Soja de Portugal เป็นกรณีศึกษาที่มีประโยชน์ ไม่ใช่เพราะมันพิเศษ แต่เพราะมันกลายเป็นเรื่องปกติมากขึ้น เนื่องจาก การโจมตีของแรนซัมแวร์ยังคงเปิดเผยข้อมูลองค์กรปริมาณมาก ในหลายภาคส่วน องค์กรที่รับมือได้ดีที่สุดคือองค์กรที่ปฏิบัติต่อความปลอดภัยเป็นกระบวนการต่อเนื่อง แทนที่จะเป็นการลงทุนครั้งเดียว การทบทวนการควบคุมการเข้าถึง สถาปัตยกรรมเครือข่าย และแผนตอบสนองต่อเหตุการณ์ในตอนนี้ มีค่าใช้จ่ายน้อยกว่าการจัดการข้อมูลรั่วไหล 491GB หลังจากเหตุการณ์เกิดขึ้นมาก