มัลแวร์เพื่อการเรียกค่าไถ่จากเหยื่อ หรือ Ransomware นั้นเรียกได้ว่าเป็นปัญหาร้ายแรงในระดับองค์กร ที่องค์กรต่าง ๆ ล้วนแต่ต้องหาวิธีป้องกันให้ได้อย่างดีที่สุด เพราะการถูกแรนซัมแวร์โจมตีนั้นร้ายแรงจนสามารถนำพาไปสู่การล่มสลายของกิจการได้ แต่ถึงแม้จะหาวิธีป้องกันอย่างดีที่สุดแล้วก็ตาม แรนซัมแวร์เองก็พัฒนาตัวเองอยู่คลอดเวลาเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทีมวิจัยจากบริษัทผู้พัฒนาเครื่องมือสำหรับระบบเครือข่าย (Network) ชื่อดังอย่าง Cisco Talos และจากบริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ Trend Micro ได้ตรวจพบเทคนิคการฝ่าระบบป้องกันปลายทาง (EDR หรือ End Point Detection and Response) ของกลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแรนซัมแวร์ Qilin และ Warlock ด้วยเทคนิคการวางไดร์เวอร์เวอร์ชันที่มีจุดอ่อนด้วยตนเอง หรือ BYOVD (Bring Your Own Vulnerable Driver)

ซึ่งวิธีการดังกล่าวของแรนซัมแวร์ Qilin นั้นจะเป็นการใช้งานไฟล์ DLL ของมัลแวร์ที่มีชื่อว่า “msimg32.dll” ซึ่งเป็นส่วนหนึ่งของการฝังตัวของมัลแวร์แบบหลายขั้นตอน (Multi-Stages Infection) โดยเริ่มจากการใช้เครื่องมือมัลแวร์นกต่อ (Loader) ที่มีชื่อว่า PE Loader ซึ่งจะทำหน้าที่ในการเตรียมสภาพแวดล้อม (Environment) ให้พร้อมด้วยการทำการโหลดไฟล์ DLL ของตนเอง หรือ DLL Sideloading เพื่อปลดล็อกไฟล์มัลแวร์ (Payload) ที่ทำหน้าที่เป็นเครื่องมือจัดการปิด EDR หรือ EDR Killer ออกมาจากตัว PE Loader โดยตัว Loader ตัวนี้ได้มีการใช้งานเทคนิคหลายอย่างในการป้องกันการถูกตรวจจับ เช่น การใช้ User-Mode Hooks เข้ามาระงับการทำงานของ Event Tracing for Windows (ETW) เพื่อปกปิดการบันทึกเหตุการณ์การทำงานของมัลแวร์ (Event Log) ไม่ให้ถูกตรวจสอบได้โดยง่าย

หลังจากที่ได้ทำการคลายตัวไฟล์มัลแวร์ (Payload) ตัวที่ 2 ซึ่งเป็น EDR Killer ทั้ง 2 ตัว พร้อมทั้งไดร์เวอร์ 2 ตัวที่ใช้งานร่วมกันออกมา ดังนี้

• ตัวแรกจะเป็นเครื่องมือสำหรับการปิด EDR Callback (กลไกสำหรับการใช้ตรวจสอบเหตุการณ์น่าสงสัย) โดยจะทำงานร่วมกับไดร์เวอร์ชื่อว่า rwdrv.sys ซึ่งถูกเปลี่ยนชื่อมาจาก “ThrottleStop.sys” อีกที โดยไดร์เวอร์ตัวนี้จะใช้ในการเข้าถึงหน่วยความจำในระดับฮาร์ดแวร์ (Physical Memory) ในโหมดแกนกลาง (Kermel-Mode)
• ตัวที่ 2 จะทำหน้าที่ปิดการทำงาน หรือ Process ของตัว EDR โดยจะทำงานร่วมกับไดร์เวอร์ชื่อว่า  hlpdrv.sys ซึ่งในการทำงานร่วมกันนี้ จะช่วยให้ตัวมัลแวร์สามารถปิดเครื่องมือ EDR ได้มากถึง 300 ตัวเลยทีเดียว

มัลแวร์ Qilin เรียกได้ว่าเป็นแรนซัมแวร์ที่ถูกใช้งานที่สุดอันดับ 1 โดยมีความเกี่ยวพันกับการโจมตีด้วยแรนซัมแวร์มากถึง 22 กรณี จาก 134 กรณี ในปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งเมื่อตีเป็นร้อยละแล้ว มากถึง 16.4% ของการโจมตีทั้งหมด โดยการโจมตีของแรนซัมแวร์ Qilin เรียกได้ว่าเรียบง่าย เพราะเริ่มต้นจากการใช้รหัสผ่านเข้าสู่ระบบที่ถูกขโมยมาเพื่อเข้าไปวางแรนซัมแวร์บนระบบ

ภาพจาก : https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html

ขณะที่แรนซัมแวร์ Warlock (หรือเป็นที่รู้จักกันในชื่อ Water Manaul) กลับมีการโจมตีที่ซับซ้อนกว่า ด้วยการใช้งานช่องโหว่บนเซิร์ฟเวอร์ Microsoft SharePoint ที่ไม่ถูกอัปเดต เพื่อรุกรานเข้าสู่ระบบ ซึ่งในช่วงที่รุกรานเข้าสู่ระบบนั้นก็จะมีการอัปเดตชุดเครื่องมือ (Toolset) เพื่อรับประกันความคงทนบนระบบ (Persistent), หลบเลี่ยงการถูกตรวจจับ, และเข้ารุกระบบภายในแบบวงกว้าง (Lateral Movement) ต่อไป โดยในการนี้ได้มีการใช้งานเครื่องมืออย่าง TightVNC เพื่อช่วยให้แฮกเกอร์ที่ควบคุมแรนซัมแวร์สามารถเข้าถึงระบบได้ตลอดเวลา แต่ได้มีการใช้ไดร์เวอร์ที่มีช่องโหว่อย่าง NSec driver (“NSecKrnl.sys”) เพื่อเข้าช่วยปิดระบบป้องกันในระดับ Kernel ซึ่งเป็นเทคนิค BYOVD เช่นเดียวกัน นอกจากนั้นยังได้มีการนำเอาเครื่องมืออีกหลายตัวเข้ามาช่วยในการปฏิบัติการบนแคมเปญล่าสุด เช่น

• PsExec สำหรับการทำ Lateral Movement
• RDP Patcher ใช้ในการเข้าควบคุมเครื่องผ่านทาง Remote Desktop Protocol หรือ RDP
• Velociraptor ใช้ในการสั่งการและควบคุม หรือ C2 (Command and Control)
• Visual Studio Code และ Cloudflare Tunnel ใช้เป็นช่องทาง (Tunnel) ในการติดต่อกับเซิร์ฟเวอร์ C2
• Yuze ใช้ในการเจาะระบบอินทราเน็ต (Intranet) ภายในองค์กร และใช้ทำ Reverse Proxy กลับไปยังเซิร์ฟเวอร์ C2 ผ่านทางพอร์ต 80 (HTTP), พอร์ต 443 (HTTPS), และ พอร์ต 53 (DNS)
• Rclone ใช้ในการแอบส่งออกข้อมูล (Exfiltration)