ที่มาภาพ: TechRadar
ครึ่งหนึ่งของเหยื่อ ransomware ถูกขโมยข้อมูลก่อนตรวจจับ
⚡ สรุป 30 วิ
การสำรวจของ ExtraHop พบว่า 49% ขององค์กรที่ถูก ransomware รู้จักการโจมตีหลังข้อมูลถูกขโมยแล้ว ระยะเวลาตรวจจับเฉลี่ย 2.5 สัปดาห์ ทำให้ผู้โจมตีขโมยข้อมูลได้มาก…
การสำรวจล่าสุดของผู้เชี่ยวชาญด้านการตรวจจับและตอบสนองเครือข่าย (NDR) จาก ExtraHop เผยให้เห็นว่าประมาณ 49 % ขององค์กรที่ถูก ransomware เข้าชนพบการโจมตีหลังจากข้อมูลของตนถูกขโมยไปแล้ว — ตัวเลขนี้เพิ่มขึ้นจาก 31 % ในปีที่ผ่านมา ส่งผลให้การตรวจจับภัยคุกคามล่าช้ากว่าที่คาด และทำให้ผู้เสียหายต้องเผชิญกับความเสี่ยงด้านข้อมูลที่เพิ่มขึ้นอย่างชัดเจน
Overview
รายงาน “Global Threat Landscape Report” ของ ExtraHop สะท้อนภาพรวมของเหตุการณ์ ransomware ระหว่างปี 2025‑2026 จากการสำรวจผู้บริหารด้าน IT และความปลอดภัยกว่า 1,800 ราย ทั่วโลก พบว่าผู้โจมตีใช้เวลาประมาณ 2.5 สัปดาห์ ก่อนที่ระบบเฝ้าระวังจะตรวจจับได้ การล่าช้านี้ทำให้ผู้โจมตีมีโอกาสขโมยข้อมูลโดยไม่ถูกสังเกต
แม้ว่ามูลค่าการชำระค่าไถ่โดยเฉลี่ยจะลดลงจาก 3.6 ล้านดอลลาร์ เป็น 2.8 ล้านดอลลาร์ แต่ความถี่ของการชำระกลับพุ่งสูงขึ้นอย่างชัดเจน โดย 83 % ของผู้ตอบแบบสอบถามในปี 2026 ยอมจ่ายค่าไถ่เทียบกับ 70 % ในปี 2025 การเปลี่ยนแปลงนี้บ่งบอกถึงการปรับตัวของผู้โจมตีให้มีประสิทธิภาพมากขึ้นในการหลบหลีกระบบป้องกัน
Key Findings
ข้อมูลจากรายงานชี้ให้เห็นว่าผู้โจมตี ransomware ไม่ได้เน้นแค่การเข้ารหัสไฟล์เท่านั้น แต่ให้ความสำคัญกับการขโมยข้อมูลก่อนที่จะทำการเข้ารหัส การตรวจพบหลังจากการขโมยข้อมูลเป็นที่เพิ่มขึ้นอย่างต่อเนื่อง ทำให้องค์กรต้องเผชิญกับภาระด้านการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ซับซ้อนมากขึ้น
นอกจากนี้ยังมีการเพิ่มขึ้นของกรณีที่ผู้เสียหายไม่ได้รับรู้ถึงการโจมตีจนกระทั่งได้รับการเรียกค่าไถ่โดยตรง จำนวน 14 % ของผู้ตอบแบบสอบถามรายงานว่าพบการโจมตีเพียงหลังจากได้รับแจ้งค่าไถ่ ซึ่งเพิ่มขึ้นจาก 6 % ของปีก่อน การไม่รับรู้เช่นนี้ทำให้การตอบสนองต่อเหตุการณ์ล่าช้าและอาจทำให้ข้อมูลที่สำคัญสูญหายได้
Dwell Time & Detection Challenges
สาเหตุหลักที่ทำให้ระยะเวลาอยู่ในระบบของผู้โจมตี (dwell time) ยาวนานอยู่ที่หลายปัจจัย ซึ่งได้ถูกสรุปเป็นรายการต่อไปนี้
- ช่องทางการสื่อสารที่เข้ารหัส – 41 %
- กิจกรรมที่เลียนแบบกระบวนการทำงานปกติ – 38 %
- การใช้บัญชีที่มีสิทธิ์สูงและเป็นบัญชีที่ถูกต้อง – 34 %
- **ความเหนื่อยล้าจากการแจ้งเตือน (alert fatigue) – 30 %
- พฤติกรรมพื้นฐานที่ถูกบิดเบือนทำให้การกระทำผิดปกติไม่โดดเด่น – 27 %
การใช้ช่องทางสื่อสารที่เข้ารหัสทำให้เครื่องมือตรวจจับเครือข่ายทั่วไปไม่สามารถตรวจสอบเนื้อหาได้ง่าย การกระทำที่คล้ายกับกระบวนการทำงานจริงทำให้เหตุการณ์สงสัยถูกมองข้าม ส่วนการใช้บัญชีที่มีสิทธิ์สูงช่วยให้ผู้โจมตีสามารถเคลื่อนย้ายในระบบได้โดยไม่ต้องเผชิญกับข้อจำกัดด้านการเข้าถึง
Ransom Payments Trends
แม้ว่ามูลค่าการชำระค่าไถ่โดยเฉลี่ยจะลดลง แต่การเพิ่มขึ้นของอัตราการชำระทำให้สภาพแวดล้อมของ ransomware มีความซับซ้อนมากยิ่งขึ้น ผู้โจมตีอาจมุ่งเน้นที่การทำให้ผู้เสียหายรับรู้ถึงความเสียหายที่อาจเกิดขึ้นจากการเปิดเผยข้อมูล (data exfiltration) มากกว่าการทำให้ระบบใช้งานไม่ได้โดยตรง
การเปลี่ยนแปลงนี้สะท้อนให้เห็นถึงแนวโน้มของผู้โจมตีที่พยายามบังคับให้ผู้เสียหายจ่ายค่าไถ่โดยอ้างอิงถึงความเสี่ยงจากการเปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับขององค์กร ซึ่งเป็นเหตุผลที่ทำให้อัตราการยอมจ่ายสูงขึ้นอย่างต่อเนื่อง
Comparative Insights
รายงานของ Chainalysis ที่ทำการสำรวจในช่วงเวลาเดียวกันได้ชี้ให้เห็นว่าจำนวนการโจมตี ransomware ที่สำเร็จในปี 2025 เพิ่มขึ้น แต่จำนวนการชำระค่าไถ่ค่อนข้างคงที่ ส่งผลให้จำนวนบริษัทที่ต้องจ่ายค่าไถ่โดยรวมลดลง การเปรียบเทียบนี้ทำให้เห็นว่าการเพิ่มขึ้นของอัตราการชำระค่าไถ่ในรายงานของ ExtraHop อาจเป็นผลมาจากกลุ่มตัวอย่างที่แตกต่างหรือวิธีการสำรวจที่เน้นการตอบรับขององค์กรที่ได้รับผลกระทบอย่างรุนแรง
แม้จะมีความแตกต่างในข้อมูล แต่ทั้งสองแหล่งข้อมูลสรุปได้ว่า การขโมยข้อมูลก่อนการเข้ารหัส กลายเป็นเทคนิคหลักของผู้โจมตีในปัจจุบัน ทำให้การป้องกันเชิงรุกและการตรวจจับพฤติกรรมที่ผิดปกติเป็นสิ่งจำเป็นต่อการลดระยะเวลาอยู่ในระบบของผู้โจมตี
Impact
ผลกระทบจากการที่ผู้โจมตีสามารถขโมยข้อมูลได้ก่อนการตรวจจับมีหลายด้าน ทั้งด้านการปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัว การเสียหายต่อภาพลักษณ์ขององค์กร และค่าใช้จ่ายในการฟื้นฟูระบบ การที่ **49 % ของผู้เสียหายตรวจพบการโจมตีหลังจากข้อมูลถูกขโมยแล้ว ทำให้ต้องเผชิญกับกระบวนการสืบค้นและแจ้งเตือนต่อหน่วยงานกำกับดูแลที่อาจมีบทลงโทษทางกฎหมาย
นอกจากนี้ ความเหนื่อยล้าจากการแจ้งเตือน (alert fatigue) ที่เกิดจากจำนวนการแจ้งเตือนที่สูงและซับซ้อนทำให้ทีมความปลอดภัยอาจมองข้ามเหตุการณ์สำคัญ การปรับปรุงกระบวนการจัดการเหตุการณ์ (SOC) ให้มีการคัดกรองและให้ความสำคัญกับการแจ้งเตือนที่มีความเสี่ยงสูงเป็นขั้นตอนสำคัญที่องค์กรควรพิจารณา
Summary
รายงานของ ExtraHop แสดงให้เห็นว่าครึ่งหนึ่งของผู้เสียหาย ransomware ไม่ได้รับรู้การโจมตีจนกว่าจะมีการขโมยข้อมูลแล้ว ซึ่งบ่งบอกถึงความท้าทายใหม่ในการตรวจจับและป้องกัน การเพิ่มขึ้นของอัตราการชำระค่าไถ่แม้ค่าชำระเฉลี่ยจะลดลง ยังคงทำให้ภัยคุกคามนี้เป็นเรื่องที่องค์กรต้องให้ความสำคัญต่อไปอย่างต่อเนื่อง.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Almost half of ransomware victims have data stolen before they can even detect an intrusion
- ผู้เขียน
- Sead Fadilpašić
- แหล่ง
- TechRadar
- วันที่เผยแพร่
- 26 มิถุนายน 2569 เวลา 02:00
