บทความ

ระวัง! แฮกเกอร์ ByteToBreach ขายข้อมูลสำคัญระดับโลก

Posted on by iconext writer
ByteToBreach cybercrime
15
ธ.ค.

ในช่วงปี 2025 ชื่อของ ByteToBreach กลายเป็นหนึ่งในบุคคลลึกลับที่ถูกพูดถึงมากที่สุดในวงการความปลอดภัยไซเบอร์ จากแฮกเกอร์ทั่วไปที่โพสต์ขายฐานข้อมูลตามฟอรัมใต้ดิน เขากลายเป็น “ผู้เล่นรายใหญ่” ในตลาดมืด (underground economy) ที่เน้นขายข้อมูลอ่อนไหวขององค์กรระดับประเทศ ไม่ว่าจะเป็นสายการบิน ธนาคาร มหาวิทยาลัย หน่วยงานรัฐ ไปจนถึงผู้ให้บริการสาธารณสุข

สิ่งที่ทำให้ ByteToBreach แตกต่างจากแฮกเกอร์ทั่วไป คือ เขาไม่ได้เป็นเพียงอาชญากรไซเบอร์ แต่พยายามสร้างภาพลักษณ์เหมือนบริษัทด้านความปลอดภัยไซเบอร์ถูกกฎหมาย เพื่อให้การขายข้อมูล หรือบริการเจาะระบบ (hacking-for-hire) ดูมี “ความน่าเชื่อถือ” มากขึ้นในหมู่ลูกค้าผิดกฎหมาย

เส้นทางของ ByteToBreach: จากฟอรัมมืดสู่การตลาดแบบมืออาชีพ

รายงานจาก KELA Cyber Intelligence Center ระบุว่า แฮกเกอร์ ByteToBreach เริ่มปรากฏตัวอย่างเป็นรูปธรรมในช่วงเดือนมิถุนายน 2025 โดยช่วงแรกเขาใช้เพียงฟอรัมใต้ดินเพื่อเสนอขายฐานข้อมูลที่ได้มาจากการเจาะระบบ อย่างไรก็ตาม ภายในเวลาไม่นาน รูปแบบการทำงานของเขาก็พัฒนาไปอย่างรวดเร็วและเป็นระบบมากขึ้น ราวกับเป็น “ผู้ประกอบการตลาดมืด” มากกว่าแค่แฮกเกอร์เดี่ยวๆ

จากนั้น ByteToBreach ได้ขยายกิจกรรมไปยังหลายแพลตฟอร์มในโลกใต้ดินและโลกสาธารณะ โดยใช้ประโยชน์จากช่องทางที่หลากหลายเพื่อเพิ่มการเข้าถึงลูกค้าและปกปิดตัวตน ได้แก่

  • DarkForums
  • Dread
  • Telegram
  • Email เข้ารหัส เช่น ProtonMail / Tuta
  • Signal และ Session
  • รวมถึงเว็บไซต์ WordPress ที่ปลอมตัวเป็นบริษัท pentesting

การใช้หลายช่องทางพร้อมกันสะท้อนว่าเขามีความรู้ด้าน social engineering, marketing และการดำเนินงานของตลาดมืดอย่างจริงจัง ไม่ใช่แค่แฮกเกอร์สมัครเล่นที่โพสต์ขายฐานข้อมูลเพียงครั้งคราว

เป้าหมายการโจมตี

แฮกเกอร์ ByteToBreach อ้างว่าตนได้เจาะเข้าองค์กรจากหลากหลายประเทศ เช่น ยูเครน คาซัคสถาน ไซปรัส โปแลนด์ ชิลี อุซเบกิสถาน สหรัฐอเมริกา

นักวิจัยพบว่าหลายกรณีที่มีหลักฐานเทคนิคยืนยันว่าเป็นข้อมูลจริงที่มาจากการละเมิดระบบจริง ไม่ใช่ข้อมูลลวงที่พบทั่วไปในตลาดมืด โดยประเภทของข้อมูลที่ถูกขโมยได้แก่

  • รายชื่อผู้โดยสารสายการบิน
  • บัญชีพนักงานและข้อมูลภายในธนาคาร
  • ข้อมูลสุขภาพจากฐานข้อมูลทางการแพทย์
  • เอกสารภายในหน่วยงานรัฐและองค์กรเอกชน
  • Backup ระบบ, Log ระบบ, credentials ภายใน

หลายข้อมูลเป็น “ทรัพย์สินสำคัญ” ขององค์กร ซึ่งการรั่วไหลมีผลร้ายแรงในระดับประเทศ

เทคนิคการเจาะระบบของ แฮกเกอร์ ByteToBreach

จากการวิเคราะห์กิจกรรมของ ByteToBreach พบว่าเขาไม่ได้ใช้เพียงวิธีเดียว แต่ใช้กลยุทธ์ผสมหลายแบบทั้งช่องโหว่ ฟิชชิ่ง และการตั้งค่าที่ผิดพลาดเพื่อเพิ่มโอกาสในการเข้าถึงระบบของเหยื่อ

ช่องโหว่ที่รู้กันอยู่แล้ว

1. ใช้ช่องโหว่ที่รู้กันอยู่แล้ว เช่น ช่องโหว่บนคลาวด์ เซิร์ฟเวอร์เว็บ VPN หรือระบบจัดการไฟล์ที่องค์กรยังไม่ได้อัปเดตแพตช์

ข้อมูลล็อกอินที่ถูกขโมย

2. ใช้ข้อมูลล็อกอินที่ถูกขโมยจากมัลแวร์กลุ่ม infostealer เช่น RedLine, Lumma, Raccoon หรือจากแคมเปญฟิชชิ่งในอดีต

การตั้งค่าผิดพลาด

3. Brute-force และการหาประตูหลังผ่านการตั้งค่าผิดพลาด เช่น

  • บัญชีผู้ดูแลระบบไม่มี Multi-Factor Authentication (MFA)
  • การเปิดพอร์ตไม่จำเป็น
  • S3 bucket หรือ storage ที่ตั้งค่า public โดยไม่ตั้งใจ

เมื่อสามารถเจาะเข้าระบบได้แล้ว ByteToBreach จะเน้นไปที่ การขโมยข้อมูลอย่างเป็นระบบ ไม่ใช่การทำลายระบบแบบ ransomware ทั่วไป

สิ่งที่มักถูกขโมย ได้แก่

  • ฐานข้อมูลพนักงาน
  • Backup ภายใน
  • รายการอีเมล
  • เอกสารภายในองค์กร
  • บัญชี VPN หรือระบบ remote access

ข้อมูลเหล่านี้ถูกนำไปขายหรือใช้เป็นส่วนหนึ่งของการโจมตีครั้งต่อไป

สร้างเว็บไซต์ที่เป็นบริษัทปลอม

หนึ่งในสิ่งที่โดดเด่นที่สุดคือ ByteToBreach สร้างเว็บไซต์ในลักษณะบริษัท pentesting จริงๆ ในชื่อ “Pentesting Ltd” และนำโลโก้องค์กรต่างๆ มาโชว์บนหน้าเว็บเหมือนเป็นผลงานที่ผ่านมา

บนเว็บไซต์มีสโลแกนเชิงท้าทาย เช่น

“Let Me Harm Your Data.”
“Industry-leading Threat Actor.”

นอกจากนี้ยังมีหน้า “บริการ” เช่น penetration testing, data retrieval, และการเข้าถึงระบบขององค์กร—ซึ่งแท้จริงคือการโฆษณา บริการแฮ็กเพื่อจ้าง (hacking-for-hire) และขายข้อมูลที่ขโมยมา

นี่เป็นตัวอย่างชัดเจนของอาชญากรที่ใช้กลยุทธ์การตลาดแบบบริษัทเอกชน เพื่อเพิ่มภาพลักษณ์ความน่าเชื่อถือในวงการใต้ดิน

ผลกระทบเชิงระบบ และความน่ากังวลในอนาคต

Cybercrime

การเติบโตของ ByteToBreach สะท้อนว่าตลาดซื้อขายข้อมูลอ่อนไหวกำลังก้าวไปอีกระดับ จากกลุ่มเล็กๆ สู่วงการที่มีโครงสร้างชัดเจนเหมือนธุรกิจจริง

ผลกระทบที่อาจเกิดขึ้น ได้แก่

1. ความเสี่ยงต่อประชาชนทั่วไปเพิ่มขึ้น

ข้อมูลผู้โดยสาร ข้อมูลทางการแพทย์ หรือข้อมูลบัตรประชาชนสามารถถูกนำไปใช้ได้ เช่น

  • Identity theft
  • การเปิดบัญชีปลอม
  • ฟิชชิงที่เฉพาะเจาะจง (spear phishing)
  • Social engineering ระดับสูง

2. องค์กรอาจสูญเสียความน่าเชื่อถืออย่างรุนแรง

การรั่วไหลของข้อมูลภายใน ส่งผลให้เกิด

  • ความเสียหายต่อชื่อเสียง
  • การฟ้องร้องจากลูกค้า
  • การถูกคว่ำบาตรด้านกฎหมายความเป็นส่วนตัว (เช่น GDPR)
  • ความเสี่ยงถูกโจมตีซ้ำในอนาคต

3. อาชญากรรมไซเบอร์กำลังกลายเป็น “บริการเชิงพาณิชย์”

การมีเว็บไซต์ การตลาด และการให้บริการลูกค้า ทำให้ threat actor มีรูปแบบเหมือนบริษัทเทาๆ ที่รับจ้างเจาะระบบอย่างเป็นระบบมากขึ้น ซึ่งอันตรายต่อโครงสร้างพื้นฐานของประเทศต่างๆ

สรุป

ByteToBreach ไม่ใช่เพียงแค่แฮกเกอร์คนหนึ่ง แต่เป็นตัวอย่างของอาชญากรไซเบอร์รุ่นใหม่ที่ใช้ทั้งทักษะด้านเทคนิคและกลยุทธ์ทางธุรกิจเข้าผสมผสานกัน เพื่อสร้าง “บริการแฮกเกอร์เชิงพาณิชย์” เต็มรูปแบบในตลาดมืด

เหตุการณ์นี้ตอกย้ำว่าองค์กรทั่วโลกต้องเร่งเสริมการป้องกันไซเบอร์ ทั้งการตรวจสอบช่องโหว่ การเข้มงวดด้านสิทธิ์การเข้าถึง และการรักษาความปลอดภัยข้อมูลสำคัญไม่ให้หลุดสู่เครือข่ายใต้ดินที่กำลังเติบโตอย่างรวดเร็ว

ที่มา

Cybersecuritynews

Kelacyber

    wpChatIcon