10 เหตุการณ์อาชญากรรมไซเบอร์สะเทือนวงการ IT ในปี 2025

รายงานจาก Kaspersky ระบุว่าในปี ช่วง Q2 ของปี 2025 มีจำนวนเหตุการณ์โจมตีที่ตรวจพบบนเซิร์ฟเวอร์ในไทยมากถึง 223,700 ครั้ง ซึ่งเพิ่มขึ้นจากปีที่แล้วอย่างต่อเนื่อง จาก 64,609 ใน Q2 2023 และ 196,078 ใน Q2 2024 แสดงให้เห็นว่า จำนวนเหตุการณ์โจมตีไซเบอร์เพิ่มขึ้นอย่างมีนัยสำคัญในไทยในช่วงหลายปีที่ผ่านมา นับเป็นสัญญาณที่ชัดเจนว่าภัยคุกคามไซเบอร์มีความถี่และความรุนแรงมากขึ้น โดยข้อมูลส่วนตัว เช่นเลขประกันสังคมและบัญชีธนาคารถูกระบุเป็นหนึ่งในข้อมูลที่มักรั่วไหลที่สุด สำหรับองค์กรในยุคดิจิทัล นอกจากนี้ ไม่เพียงแต่การโจมตีเหล่านี้จะทำให้เกิด ผลกระทบทางธุรกิจโดยตรง เช่น การสูญเสียข้อมูล ความเสียหายต่อชื่อเสียง และเสียค่าใช้จ่ายในการฟื้นฟูระบบ แต่ยังมีผลทางกฎหมายและข้อกำหนดด้านความเป็นส่วนตัวข้อมูล เช่น PDPA หรือ GDPR ที่หากละเมิดอาจนำไปสู่ ค่าปรับและบทลงโทษทางกฎหมายอย่างรุนแรง ซึ่งนี่เป็นเหตุผลสำคัญที่ทุกองค์กรต้องให้ความสำคัญกับการเสริมความปลอดภัยไซเบอร์อย่างจริงจังตั้งแต่วันนี้ ไม่ใช่แค่เพื่อป้องกันข้อมูล แต่เพื่อป้องกันความต่อเนื่องของธุรกิจและความเชื่อมั่นของลูกค้าในระยะยาว เพื่อให้เข้าใจมากขึ้นบทความนี้จะพาไปดู 10 เหตุการณ์อาชญากรรมไซเบอร์ในปี 2025 ในรูปแบบต่างๆที่เกิดขึ้นทั้งในไทยและต่างประเทศ

10 ตัวอย่างเหตุการณ์อาชญากรรมไซเบอร์ในปี 2025

1. เหตุการณ์ spyware ระบาดในองค์กรชั้นนำไทย

สถานการณ์ความมั่นคงปลอดภัยไซเบอร์ในประเทศไทยช่วงปี พ.ศ. 2568 เผชิญกับวิกฤตการแพร่ระบาดของ Spyware อย่างรุนแรง โดยมีสถิติความพยายามโจมตีพุ่งสูงกว่า 21,014 ครั้ง ซึ่งกลุ่มเป้าหมายหลักคือธุรกิจ Enterprise และโครงสร้างพื้นฐานสำคัญ โดยเฉพาะในกลุ่ม อุตสาหกรรมขนส่งและโลจิสติกส์ อย่างกรณีของ หน่วยงานรัฐวิสาหกิจหลักด้านการขนส่งที่ได้รับผลกระทบจากการถูกเจาะระบบ CRM จนข้อมูลรั่วไหล รวมถึงบริษัทขนส่งเอกชนรายใหญ่ ที่มักถูกแฮกเกอร์นำชื่อแบรนด์ไปแอบอ้างในแคมเปญ Phishing เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล เช่น Lumma Stealer หรือ Agent Tesla โดยมักแฝงมาในรูปแบบไฟล์แนบใบตราส่งสินค้าหรืออีเมลแจ้งสถานะพัสดุ เมื่อพนักงานในองค์กรหรือบริษัทคู่ค้าเผลอกดลิงก์ Spyware จะทำการสอดแนม บันทึกหน้าจอ และขโมยรหัสผ่านเข้าสู่ระบบภายในทันทีส่งผลให้ข้อมูลความลับทางการค้าและข้อมูลลูกค้า จำนวนมหาศาลตกไปอยู่ในมือของมิจฉาชีพ สร้างความเสียหายต่อทั้งชื่อเสียงและภาพลักษณ์ความเชื่อมั่นของธุรกิจไทยอย่างมหาศาล

สำหรับการรับมือและแก้ไขปัญหา องค์กรธุรกิจในไทยเริ่มตื่นตัวในการปรับปรุงมาตรการรักษาความปลอดภัยจากเดิมที่เน้นเพียงการป้องกันเบื้องต้น มาเป็นการใช้ระบบ Endpoint Detection and Response (EDR) และการวิเคราะห์พฤติกรรม (Behavioral Analysis) เพื่อตรวจจับการทำงานของ Spyware ที่พยายามหลบเลี่ยง Antivirus ทั่วไป ควบคู่ไปกับการบังคับใช้ระบบยืนยันตัวตนแบบหลายชั้น (MFA) ในทุกบัญชีผู้ใช้งาน ปัจจุบันสถานการณ์ยังคงน่ากังวลเนื่องจากกลุ่มแฮกเกอร์มีการพัฒนา Spyware ให้มีความซับซ้อนและจำเพาะเจาะจงกับแต่ละอุตสาหกรรมมากขึ้น ทำให้ฝ่ายไอทีของบริษัทไทยต้องยกระดับการตรวจสอบ Log การใช้งานอย่างเข้มงวดผ่านระบบ SIEM และเร่งสร้างภูมิคุ้มกันดิจิทัลผ่านการอบรม Security Awareness ให้กับพนักงานทุกระดับ เพื่อลดความเสี่ยงจากการเป็นจุดอ่อนของห่วงโซ่ธุรกิจในยุคที่ข้อมูลมีค่ามหาศาลเช่นนี้

 2. บริษัทขายสินค้าไอทีชื่อดังระเมิด PDPA โดนปรับกว่า 7 ล้านบาท

เหตุการณ์ความตระหนักด้านกฎหมาย PDPAในประเทศไทยพุ่งสูงถึงขีดสุดเมื่อ บริษัทขายสินค้าไอทีชื่อดังอย่าง บริษัทขายสินค้าไอที ถูกคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC สั่งปรับทางปกครองเป็นเงินจำนวน 7 ล้านบาท ในช่วงปี 2568 ซึ่งถือเป็นหนึ่งในยอดค่าปรับที่สูงที่สุดเท่าที่เคยมีมา สาเหตุหลักของเหตุการณ์นี้เกิดจากการที่แฮกเกอร์สามารถเจาะผ่านช่องโหว่ของระบบหลังบ้านที่ขาดการทำ Vulnerability Assessment อย่างสม่ำเสมอ ประกอบกับการจัดการสิทธิ์การเข้าถึง (Access Control) ที่ไม่รัดกุมพอ ทำให้ข้อมูลส่วนบุคคลของลูกค้าจำนวนมากรั่วไหลออกไปสู่ภายนอก นอกจากความผิดพลาดทางเทคนิคแล้ว บริษัทฯ ยังถูกลงโทษหนักเนื่องจาก ไม่ได้ดำเนินการแจ้งเหตุละเมิดข้อมูลต่อหน่วยงานกำกับดูแลภายใน 72 ชั่วโมง ตามที่กฎหมายกำหนด ซึ่งสะท้อนถึงการขาดระบบ Incident Monitoring และ Reporting ที่มีประสิทธิภาพ ผลกระทบในครั้งนี้ไม่เพียงแต่ทำให้บริษัทต้องเสียเงินค่าปรับมหาศาล แต่ยังส่งผลต่อความเชื่อมั่นของลูกค้าในกลุ่มสินค้าไอทีที่ให้ความสำคัญกับความปลอดภัยทางดิจิทัลเป็นอย่างมาก

สำหรับการแก้ปัญหาบริษัท ได้เร่งเข้าชี้แจงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดทำแผนฟื้นฟูระบบรักษาความปลอดภัยใหม่ทั้งหมด โดยเน้นการติดตั้งระบบตรวจจับการบุกรุก (IDS/IPS) และการนำเทคโนโลยี SIEM มาใช้เพื่อเฝ้าระวัง Log การเข้าถึงข้อมูลตลอด 24 ชั่วโมง ปัจจุบันสถานการณ์นี้ได้กลายเป็นบรรทัดฐานสำคัญที่องค์กรใหญ่ในไทยใช้เป็นบทเรียน โดยเฉพาะในเรื่องการลงทุนระบบ IT Compliance เพื่อพิสูจน์ให้เห็นถึง "มาตรการรักษาความปลอดภัยที่เหมาะสม" ตามกฎหมาย ซึ่งปัจจุบันสถานะของคดีอยู่ในขั้นตอนของการปรับปรุงระบบภายใต้การกำกับดูแลของเจ้าหน้าที่อย่างใกล้ชิด เพื่อป้องกันไม่ให้ประวัติศาสตร์ซ้ำรอยอีกครั้ง

 3.  ผลกระทบจากการโจมตี ช่องโหว่ Zero Day ของโปรแกรมแบบ On-premises ในประเทศไทย

ในช่วงกลางปี 2025 วงการ IT ทั่วโลกและในประเทศไทยต้องเผชิญกับฝันร้ายจากช่องโหว่ระดับ Zero-day บน SharePoint Server (On-premises) ซึ่งถูกขนานนามในวงการความปลอดภัยว่า "ToolShell" ความน่ากลัวของเหตุการณ์นี้คือการเปิดทางให้ผู้โจมตีสามารถทำการรันโค้ดจากระยะไกล หรือ Remote Code Execution (RCE) ได้โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน (Unauthenticated) ซึ่งช่องโหว่นี้ถูกแฮกเกอร์นำมาใช้โจมตีจริงก่อนที่แพตช์ฉุกเฉินจะถูกปล่อยออกมา ทำให้ระบบภายในที่หลายองค์กรเชื่อว่าปลอดภัยกลับกลายเป็นช่องทางหลักที่มัลแวร์สามารถแทรกซึมเข้ามาได้อย่างอิสระ

ในประเทศไทย ผลกระทบเริ่มรุนแรงขึ้นตั้งแต่ช่วงกลางเดือนกรกฎาคม 2025 โดยเฉพาะกับหน่วยงานรัฐวิสาหกิจด้านพลังงาน, สถาบันการเงิน และหน่วยงานภาครัฐที่ยังคงต้องใช้งาน SharePoint แบบ On-premises เพื่อจัดเก็บเอกสารสำคัญตามนโยบายความเป็นส่วนตัวของข้อมูล รายงานจากผู้เชี่ยวชาญระบุว่าเซิร์ฟเวอร์ในไทยหลายสิบเครื่องถูกบุกรุกเพื่อฝัง Web Shell และติดตั้ง Backdoor ทิ้งไว้ โดยเป้าหมายหลักของแฮกเกอร์คือการขโมยคีย์เข้ารหัส เพื่อใช้ปลอมแปลงสิทธิ์การเข้าถึงข้อมูลลับในฐานข้อมูล SQL Server ซึ่งเป็นหัวใจหลักของระบบบริหารจัดการเอกสารภายในองค์กร

ผลกระทบที่เกิดขึ้นจริงกับบริษัทในไทยนั้นมีความรุนแรงและเห็นภาพชัดเจน ตัวอย่างเช่น กลุ่มบริษัทรับเหมาก่อสร้างและโครงสร้างพื้นฐานระดับมหาชนรายหนึ่งในไทยที่ถูกโจมตีต่อเนื่องด้วย Ransomware สายพันธุ์ "LockBit 4.0" หลังจากที่แฮกเกอร์เข้ายึดเซิร์ฟเวอร์ SharePoint ได้สำเร็จ โดยแฮกเกอร์ได้ทำการเข้ารหัสไฟล์แบบแปลนโครงการ (Blueprints) และเอกสารการประมูลงานทั้งหมด ทำให้การดำเนินงานหยุดชะงักนานกว่า 2 สัปดาห์ หรือในกรณีของโรงพยาบาลเอกชนบางแห่งที่ใช้ SharePoint ในการจัดเก็บผลตรวจทางห้องปฏิบัติการ (Lab Results) ก็พบว่าข้อมูลถูกนำไปประกาศขายบน Dark Web หลังจากถูกฝังมัลแวร์ผ่านช่องโหว่นี้ ซึ่งนำไปสู่การข่มขู่เรียกค่าไถ่เพื่อแลกกับการไม่เปิดเผยข้อมูลคนไข้ต่อสาธารณะ

การโจมตีครั้งนี้ถือเป็นบทเรียนราคาแพงที่ชี้ให้เห็นว่า การเปิดระบบให้เข้าถึงได้จากภายนอกโดยขาดการป้องกันเชิงรุกนั้นนำไปสู่ความเสียหายร้ายแรงได้อย่างรวดเร็ว แม้ปัจจุบัน Microsoft จะมีการออกแพตช์ฉุกเฉิน (Out-of-band updates) มาให้อัปเดตเพื่อปิดช่องโหว่แล้ว แต่เหตุการณ์นี้ยังคงทิ้งร่องรอยความเสียหายและกลายเป็นจุดเริ่มต้นของการทำ Forensics ครั้งใหญ่ในหลายองค์กรเพื่อกำจัดภัยคุกคามที่อาจยังแฝงตัวอยู่ โดยเฉพาะการตรวจสอบว่ามีการแอบติดตั้ง Persistence มัลแวร์ตัวอื่น ๆ ทิ้งไว้ใน Active Directory ของบริษัทหรือไม่

เพื่อเป็นการป้องกันไม่ให้เกิดเหตุซ้ำรอย องค์กรระดับ Enterprise ในไทยจึงเริ่มตื่นตัวในการนำโซลูชันอย่าง ManageEngine Patch Manager Plus เข้ามาใช้เพื่อทำ Automated Patching ทันทีที่มีการประกาศช่องโหว่ Zero-day ควบคู่ไปกับการใช้ Log360 เพื่อเฝ้าระวังพฤติกรรมผิดปกติในระบบ SharePoint เช่น การเข้าถึงไฟล์ที่ไม่ได้รับอนุญาต หรือการรัน Command ที่ผิดสังเกตจาก User ที่ไม่ควรมีสิทธิ์ในระบบ ซึ่งถือเป็นเกราะป้องกันสำคัญในยุคที่ช่องโหว่ใหม่ ๆ ถูกค้นพบและใช้งานโจมตีภายในระยะเวลาเพียงไม่กี่ชั่วโมง

4. การเจาะระบบบริษัทขนส่งผ่านซอฟต์แวร์ Remote Management (RMM Hijacking)

ในช่วงพฤศจิกายน พ.ศ. 2568 เกิดเหตุการณ์ภัยคุกคามที่สร้างความเสียหายอย่างรุนแรงต่อ กลุ่มบริษัทโลจิสติกส์และขนส่งสินค้าในประเทศไทย โดยมีรายงานระบุว่าแฮกเกอร์ได้เลือกใช้กลยุทธ์ "Living off the Land" ด้วยการนำซอฟต์แวร์บริหารจัดการระยะไกล หรือ Remote Monitoring and Management (RMM) ที่มีลิขสิทธิ์ถูกต้องและมักถูกใช้โดยฝ่ายไอที มาดัดแปลงเพื่อใช้งานในทางที่ผิด แฮกเกอร์มักเริ่มจากการส่งอีเมล Phishing เพื่อหลอกให้พนักงานในบริษัทขนส่งติดตั้งซอฟต์แวร์รีโมท หรือใช้ช่องโหว่จากการขโมยบัญชีผู้ใช้ (Credential Theft) เพื่อเข้าควบคุมเครื่องคอมพิวเตอร์ในเครือข่าย โดยเหตุการณ์นี้ส่งผลกระทบโดยตรงต่อพนักงานฝ่ายปฏิบัติการและระบบจัดการคลังสินค้าของบริษัทขนส่งชั้นนำในไทย และธุรกิจขนส่งพัสดุเอกชนรายใหญ่อีกมากมาย ที่ต้องเผชิญกับความเสี่ยงจากการที่แฮกเกอร์เข้าสวมรอยสิทธิ์แอดมินเพื่อขโมยข้อมูลใบตราส่งสินค้า และเข้าถึงระบบจัดการตู้คอนเทนเนอร์ซึ่งอาจนำไปสู่การขโมยทรัพย์สิน หรือการเรียกค่าไถ่ข้อมูลผ่านการยึดระบบหลังบ้านแบบเบ็ดเสร็จ

สำหรับการแก้ปัญหาและรับมือ หน่วยงานความมั่นคงปลอดภัยไซเบอร์อย่าง ThaiCERT และผู้เชี่ยวชาญด้านความปลอดภัยในไทยได้เร่งให้คำแนะนำแก่ผู้ประกอบการโลจิสติกส์ในการทำ Application Whitelisting เพื่อบล็อกการใช้งานซอฟต์แวร์รีโมทที่ไม่ได้รับอนุญาต รวมถึงการตรวจสอบ Log ของระบบ RMM อย่างละเอียดเพื่อหาพฤติกรรมการเชื่อมต่อที่ผิดปกติ ปัจจุบันสถานการณ์ยังคงอยู่ในช่วงเฝ้าระวังอย่างเข้มข้นเนื่องจากแฮกเกอร์มีการเปลี่ยนตัวซอฟต์แวร์ RMM ที่ใช้โจมตีไปเรื่อย ๆ เพื่อหลบเลี่ยงการตรวจจับของ Antivirus แบบเดิม องค์กรขนส่งส่วนใหญ่จึงเริ่มหันมาปรับใช้แนวทาง Zero Trust Network Access (ZTNA) เพื่อลดความเสี่ยงจากการที่บุคคลภายนอกจะสามารถรีโมทเข้าสู่ระบบเซิร์ฟเวอร์สำคัญได้โดยตรง และสร้างระบบตรวจสอบสิทธิ์ที่เข้มงวดกว่าเดิมก่อนการอนุญาตให้เข้าถึงโครงสร้างพื้นฐานดิจิทัลของบริษัท

 5. วิกฤตความพยายามเข้าถึงข้อมูลสมาชิกของบริษัทน้ำมันชื่อดังกว่า 6.5 ล้านราย

ในช่วงเดือนเมษายน พ.ศ. 2568 เกิดเหตุการณ์ความมั่นคงปลอดภัยทางไซเบอร์ครั้งสำคัญกับบริษัทน้ำมันแห่งหนึ่ง เมื่อมีการตรวจพบความพยายามอย่างผิดปกติในการเข้าถึงฐานข้อมูลสมาชิกบัตร ซึ่งครอบคลุมจำนวนผู้ใช้งานสูงถึง 6.5 ล้านราย โดยรายงานระบุว่าแฮกเกอร์พยายามใช้วิธีเจาะระบบเพื่อเข้าถึงข้อมูลส่วนบุคคลของสมาชิก ส่งผลกระทบโดยตรงต่อกลุ่มลูกค้าผู้ถือบัตรสะสมคะแนนทั่วประเทศที่อาจถูกนำข้อมูลชื่อ เบอร์โทรศัพท์ หรือประวัติการใช้บริการไปใช้ในทางมิชอบ แม้ทางบริษัทจะระบุว่าสามารถตรวจพบและยับยั้งกิจกรรมที่น่าสงสัยได้ในระยะเริ่มต้น แต่เหตุการณ์นี้ก็ได้สร้างความกังวลใจให้แก่ผู้ใช้บริการเป็นวงกว้าง และเน้นย้ำถึงความเสี่ยงของการโจมตีแบบเจาะจงเป้าหมายไปยังระบบสิทธิประโยชน์ ที่มีฐานข้อมูลขนาดใหญ่

ในการแก้ปัญหาและรับมือได้ดำเนินการยกระดับมาตรการความปลอดภัยทันที โดยสั่งระงับช่องทางการเข้าถึงที่ผิดปกติและตรวจสอบระบบความปลอดภัยของฐานข้อมูลอย่างละเอียด พร้อมทั้งประสานงานร่วมกับหน่วยงานกำกับดูแลเพื่อรายงานเหตุการณ์ตามข้อบังคับของกฎหมาย PDPA นอกจากนี้ยังมีการส่งข้อความแจ้งเตือนให้สมาชิกดำเนินการเปลี่ยนรหัสผ่านเพื่อความปลอดภัย และเพิ่มระบบการยืนยันตัวตนให้มีความซับซ้อนยิ่งขึ้น ปัจจุบันสถานการณ์ได้รับการควบคุมและระบบกลับมาให้บริการตามปกติแล้ว โดยเหตุการณ์นี้กลายเป็นบทเรียนสำคัญให้องค์กรระดับมหาชนในไทยต้องกลับมาทบทวนมาตรการป้องกันการยืนยันตัวตนและการตรวจสอบพฤติกรรมการเข้าสู่ระบบของผู้ใช้งาน (User Behavior) เพื่อป้องกันการโจมตีรูปแบบใหม่ที่มุ่งเน้นการขโมยสิทธิ์การเข้าถึงข้อมูลจากช่องทางออนไลน์

6. เหตุการณ์โจมตีข้อมูลลูกค้าของสายการบินจากบริษัทภายนอก

ในเดือนมิถุนายน 2025 สายการบินแห่งชาติออสเตรเลีย เผชิญกับเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ที่สุดครั้งหนึ่งของประเทศในรอบหลายปี หลังผู้ไม่หวังดีสามารถเจาะเข้าสู่ แพลตฟอร์มบริการลูกค้า หรือ Contact Center ของบริษัทคู่ค้าภายนอก ที่ใช้งานอยู่ ส่งผลให้ฐานข้อมูลลูกค้าประมาณ 6 ล้านรายการถูกเข้าถึงโดยไม่ได้รับอนุญาต ข้อมูลที่รั่วไหลประกอบด้วยชื่อ–นามสกุล, อีเมล, หมายเลขโทรศัพท์, วันเดือนปีเกิด และหมายเลขสมาชิกสะสมไมล์ของผู้โดยสารจำนวนมาก

แม้เหตุการณ์นี้จะ ไม่กระทบต่อความปลอดภัยของเที่ยวบินหรือการดำเนินงานของสายการบินโดยตรง แต่ผลกระทบด้านความเชื่อมั่นของลูกค้าถือว่ารุนแรงอย่างมาก โดยเฉพาะในอุตสาหกรรมการบินที่ข้อมูลส่วนบุคคลและความไว้วางใจเป็นหัวใจสำคัญ จากการสืบสวนเบื้องต้น หน่วยงานด้านความปลอดภัยพบว่า ผู้โจมตีใช้เทคนิค Social Engineering โดยปลอมตัวเป็นเจ้าหน้าที่ IT เพื่อหลอกพนักงานให้เปิดเผยข้อมูลล็อกอิน ซึ่งมีความเชื่อมโยงกับกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ Scattered Spider หรือก็คือ กลุ่มที่มีชื่อเสียงด้านการโจมตีองค์กรผ่านการหลอกลวงบุคลากรแทนการใช้ช่องโหว่ทางเทคนิคโดยตรง

ผลกระทบของเหตุการณ์นี้จึงตกอยู่กับ ลูกค้าหลายล้านคนของสายการบิน ที่ต้องเผชิญความเสี่ยงจากการนำข้อมูลไปใช้ในทางที่ผิด เช่น Phishing, Scam หรือการโจมตีแบบ Credential Stuffing ในบริการอื่น ๆ ขณะเดียวกัน สายการบินยังต้องรับมือกับแรงกดดันจากสาธารณชน หน่วยงานกำกับดูแล และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของออสเตรเลีย ซึ่งอาจนำไปสู่การตรวจสอบและบทลงโทษเพิ่มเติมในอนาคต

ในแง่ของการแก้ไขปัญหา ระบุว่าได้ ตัดการเชื่อมต่อระบบที่ได้รับผลกระทบ, เริ่มการสอบสวนร่วมกับผู้เชี่ยวชาญด้านไซเบอร์ และแจ้งเตือนลูกค้าที่อาจได้รับผลกระทบ พร้อมให้คำแนะนำด้านความปลอดภัย เช่น การระวังอีเมลหรือข้อความต้องสงสัย เหตุการณ์นี้ยังชี้ให้เห็นอย่างชัดเจนว่า หากแพลตฟอร์มของ third-party มีการบังคับใช้ Multi-Factor Authentication (MFA) อย่างเข้มงวดตั้งแต่ต้น การขโมยรหัสผ่านเพียงอย่างเดียวจะไม่เพียงพอให้ผู้โจมตีเข้าถึงระบบได้

ในปัจจุบันสายการบิน ยืนยันว่าการโจมตีได้ถูกควบคุมแล้ว และกำลังเดินหน้า ทบทวนมาตรการควบคุมการเข้าถึง, การยืนยันตัวตนของผู้ใช้งาน และการกำกับดูแลผู้ให้บริการภายนอก อย่างเข้มข้นยิ่งขึ้น เหตุการณ์นี้จึงกลายเป็นบทเรียนสำคัญสำหรับองค์กรทั่วโลกว่า ความเสี่ยงด้านไซเบอร์ไม่ได้จำกัดอยู่แค่ระบบภายใน แต่ยังรวมถึง Ecosystem ของ Third Party และ Human Factor ซึ่งต้องได้รับการป้องกันด้วยการยืนยันตัวตนหลายชั้น การตรวจจับพฤติกรรมผิดปกติ และการเฝ้าระวังแบบต่อเนื่อง เพื่อไม่ให้จุดอ่อนเล็ก ๆกลายเป็นประตูสู่เหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่

7. กลุ่มโรงพยาบาลขนาดใหญ่ในอังกฤษถูกโจมตีผ่านช่องโหว่

ในเดือนสิงหาคม 2025 หนึ่งในกลุ่มโรงพยาบาลขนาดใหญ่ที่สุดของสหราชอาณาจักร ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่เชื่อมโยงกับกลุ่ม Cl0p Ransomware โดยผู้โจมตีสามารถเข้าถึงระบบผ่าน ช่องโหว่ของ Oracle E-Business Suite (EBS) ซึ่งเป็นระบบองค์กรที่ใช้สำหรับงานด้านการออกใบแจ้งหนี้และการเรียกเก็บเงิน จากการโจมตีดังกล่าว แฮกเกอร์สามารถคัดลอกไฟล์ข้อมูลออกจากฐานข้อมูลได้ แม้จะไม่มีการเข้ารหัสหรือทำให้ระบบหลักล่มเหมือน Ransomware แบบดั้งเดิมก็ตาม

ต่อมาองค์กรยืนยันว่าข้อมูลที่ถูกขโมยไปประกอบด้วย ชื่อ ที่อยู่ และรายละเอียดใบแจ้งหนี้ ซึ่งส่งผลกระทบต่อทั้ง ผู้ป่วยและพนักงานบางส่วน แม้ระบบเวชระเบียนอิเล็กทรอนิกส์ และระบบทางคลินิกหลักจะไม่ถูกกระทบ แต่การรั่วไหลของข้อมูลด้านการเงินและข้อมูลติดต่อยังถือเป็นความเสี่ยงที่มีนัยสำคัญ เนื่องจากสามารถถูกนำไปใช้ในการ หลอกลวงแบบเจาะจง, Social Engineering และ Scam ทางการเงิน ได้โดยตรง

หลังจากกลุ่ม Cl0p นำข้อมูลบางส่วนไปเผยแพร่บนเว็บไซต์ของตน โรงพยาบาลได้ดำเนินการตอบสนองเหตุการณ์อย่างเร่งด่วน โดยทำงานร่วมกับ NHS England, National Cyber Security Centre (NCSC) และ Metropolitan Police รวมถึงการ ดำเนินการทางกฎหมาย เพื่อพยายามจำกัดการเผยแพร่ข้อมูลเพิ่มเติม และลดผลกระทบต่อผู้ที่เกี่ยวข้อง เหตุการณ์นี้ตอกย้ำว่าการโจมตี Ransomware ในปัจจุบันไม่ได้มุ่งเน้นเพียงการเรียกค่าไถ่จากการเข้ารหัสข้อมูลเท่านั้น แต่ยังเน้นการ ขโมยข้อมูล เพื่อใช้เป็นเครื่องมือกดดันองค์กรอีกด้วย

ในแง่ของการแก้ไขปัญหา เหตุการณ์นี้ชี้ให้เห็นอย่างชัดเจนถึงความสำคัญของ การจัดการแพตช์และช่องโหว่ในระบบองค์กรที่เปิดเชื่อมต่อกับอินเทอร์เน็ต โดยเฉพาะซอฟต์แวร์ขนาดใหญ่อย่าง Oracle EBS ซึ่งเมื่อ Oracle ออกแพตช์สำหรับช่องโหว่ที่ถูกโจมตีแล้ว การมีระบบ Automated Patch Management และ Vulnerability Scanning จะช่วยลดช่วงเวลาความเสี่ยงได้อย่างมาก นอกจากนี้ การมี Endpoint Monitoring บนเซิร์ฟเวอร์ ยังสามารถช่วยตรวจจับกิจกรรมหลังการเจาะระบบ เช่น Web Shell ใหม่ การใช้งานสิทธิ์ผู้ดูแลระบบผิดปกติ หรือการดึงข้อมูลจำนวนมากออกจากระบบ ก่อนที่ความเสียหายจะลุกลามเป็นวงกว้าง

ปัจจุบันองค์กรระบุว่าสถานการณ์อยู่ภายใต้การควบคุม และกำลังเดินหน้าทบทวนมาตรการด้านความปลอดภัยเพิ่มเติม โดยเน้นการป้องกันระบบองค์กรที่เชื่อมต่อภายนอก การตรวจจับพฤติกรรมผิดปกติ และการทำงานเชิงรุกกับหน่วยงานด้านความมั่นคงไซเบอร์ เหตุการณ์นี้จึงเป็น บทเรียนสำคัญสำหรับองค์กรด้านสาธารณสุขและองค์กรขนาดใหญ่ทั่วโลก ว่าแม้ระบบทางคลินิกจะปลอดภัย แต่ระบบสนับสนุนอย่างการเงินหรือบัญชี ก็สามารถกลายเป็นจุดเริ่มต้นของการรั่วไหลข้อมูลครั้งใหญ่ได้ หากขาดการดูแลด้านความปลอดภัยอย่างรอบด้าน

8. การโจมตี Cisco ASA ผ่าน Firewall

ในปี 2025 เครือข่ายอย่าง Cisco Systems ออกประกาศเตือนลูกค้าถึงการโจมตีจริงที่เกิดขึ้นจาก ช่องโหว่ Zero Day หลายรายการใน Cisco Secure Firewall Adaptive Security Appliance (ASA) และ Cisco Secure Firewall Threat Defense (FTD) ซึ่งเป็นอุปกรณ์ Firewall ที่ใช้กันอย่างแพร่หลายทั้งในองค์กรขนาดใหญ่ หน่วยงานรัฐบาล และผู้ให้บริการเครือข่ายทั่วโลก ช่องโหว่ที่ถูกใช้โจมตี คือ ช่องโหว่ CVE-2025-20333 ซึ่งอนุญาตให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถรันโค้ดจากระยะไกลได้ และ ช่องโหว่ CVE-2025-20362 ที่อนุญาตให้เข้าถึง URL ที่ถูกจำกัดโดยไม่ต้องยืนยันตัวตน ซึ่งทั้งสองช่องโหว่นี้ถูกพบว่า กำลังถูกใช้ในโลกจริงโดยกลุ่มโจมตีขั้นสูงที่เชื่อมโยงกับแคมเปญ ArcaneDoor

ผลกระทบของเหตุการณ์นี้ถือว่าร้ายแรง เพราะ Firewall คือเส้นป้องกันแรกสุดของเครือข่ายองค์กร หาก Firewall ถูกเจาะได้ ผู้โจมตีก็สามารถ เข้าถึงเครือข่ายภายใน, รันคำสั่งโค้ดอันตราย, ติดตั้งมัลแวร์ หรือขโมยข้อมูลสำคัญออกไปได้อย่างอิสระ ซึ่งเท่ากับว่าการโจมตีนี้อาจเปิด “ประตูหลัง” ให้แฮกเกอร์เข้าไปในระบบหลักขององค์กรได้โดยตรง โดยเฉพาะในกรณีที่อุปกรณ์ ASA รุ่นเก่าหรือรุ่นที่หมดระยะสนับสนุน ถูกติดตั้งอยู่ ซึ่งมักไม่มีเทคโนโลยี Secure Boot หรือ Trust Anchor ที่ช่วยป้องกันการถูกดัดแปลงซอฟต์แวร์อย่างเข้มงวด

นอกจากนี้ นักวิจัยและหน่วยงานด้านความปลอดภัยยังพบว่าการโจมตีนี้มีการใช้ เทคนิคเลี่ยงการตรวจจับ เช่น การปิดการบันทึก log, เปลี่ยนคำสั่ง CLI, และแม้แต่การแก้ไข firmware เพื่อฝังตัวอยู่ในอุปกรณ์แม้หลัง reboot ซึ่งเพิ่มระดับความซับซ้อนของแคมเปญนี้อย่างมาก

เพื่อแก้ปัญหานี้ Cisco ได้ออก แพตช์สำหรับช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 และแนะนำให้ลูกค้าทุกคนอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันที่ปลอดภัยทันที รวมถึงตรวจสอบว่า Firewall และ FTD รุ่นที่ใช้ยังได้รับการสนับสนุนหรือไม่ เพราะอุปกรณ์ที่หมดอายุการสนับสนุนจะไม่สามารถรับการอัปเดตความปลอดภัยได้อย่างเหมาะสม

หน่วยงานด้านความปลอดภัยเครือข่ายทั้งในสหรัฐฯ และสหราชอาณาจักร เช่น CISA และ NCSC ออกคำเตือนถึงความเสี่ยงนี้และเรียกร้องให้ลูกค้าทำการ patch, ประเมินอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต และหากจำเป็นให้ตัดการเชื่อมต่ออุปกรณ์ที่ยังไม่ปลอดภัยออกจากเครือข่ายทันทีเพื่อป้องกันการโจมตีเพิ่มเติม

ในปัจจุบัน แม้ว่าการโจมตีด้วยช่องโหว่ Zero Day ใน Firewall จะถูกตรวจพบและแพตช์ได้ออกมาแล้ว แต่อุปกรณ์เก่าที่ยังไม่ได้อัปเดตยังคงเสี่ยงต่อการถูกโจมตี และจำนวนอุปกรณ์ที่ยังเปราะบางยังมีอยู่ทั่วโลก เหตุการณ์นี้จึงเป็น บทเรียนสำคัญ ว่า Firewall ที่เป็น “แนวป้องกันแรก” ก็ไม่ควรถูกละเลย และต้องมี กระบวนการจัดการ Patch และ Vulnerability Scanning อย่างต่อเนื่อง เพื่อปิดช่องโหว่ก่อนที่จะถูกผู้โจมตีใช้งานจริงในโลกไซเบอร์

9. การโจมตีทางไซเบอร์ที่ดำเนินโดยระบบ AI

ในปี 2025 วงการความปลอดภัยไซเบอร์เริ่มเห็นสัญญาณของภัยคุกคามรูปแบบใหม่ นั่นคือ การโจมตีที่ขับเคลื่อนโดย AI Agent แบบอัตโนมัติ โดยมีรายงานว่ากลุ่มผู้โจมตีใช้เครื่องมืออย่าง Claude Code (Claude Agent) ซึ่งเป็น AI ที่สามารถเขียนและรันโค้ดได้เอง เพื่อดำเนินการโจมตีตั้งแต่ต้นจนจบ แทนที่จะใช้มนุษย์เป็นผู้ควบคุมทุกขั้นตอนเหมือนในอดีต AI ถูกนำมาใช้ในการสแกนเป้าหมาย วิเคราะห์ระบบ เขียนสคริปต์โจมตี ทดสอบช่องโหว่ และเคลื่อนย้ายภายในเครือข่ายอย่างต่อเนื่องและรวดเร็วในระดับที่มนุษย์ทำได้ยาก

การโจมตีลักษณะนี้ส่งผลกระทบต่อ องค์กรขนาดใหญ่และโครงสร้างพื้นฐานสำคัญในหลายอุตสาหกรรม ไม่ว่าจะเป็นเทคโนโลยี การเงิน การผลิต และหน่วยงานภาครัฐ จุดอันตรายของ AI-driven attack คือความเร็วและความสามารถในการทำงานแบบ parallel AI สามารถทดสอบหลายช่องโหว่ พร้อมกันในหลายระบบ และปรับกลยุทธ์การโจมตีได้แบบ real-time ทำให้ทีม SOC ขององค์กรมีเวลาในการตรวจจับและตอบสนองน้อยลงอย่างมาก หากตรวจจับช้า ความเสียหายอาจขยายตัวอย่างรวดเร็วทั้งในแง่การรั่วไหลของข้อมูลและการยึดระบบ

เหตุการณ์นี้สะท้อนชัดเจนว่า แนวทางป้องกันแบบเดิมที่พึ่งพา signature หรือ rule-based detection ไม่เพียงพออีกต่อไป องค์กรจำเป็นต้องเตรียมรับมือกับการโจมตีที่ “คิดและปรับตัวได้เอง” โดยเน้นการใช้ SOC automation, SIEM และ UEBA เพื่อวิเคราะห์พฤติกรรมผิดปกติ เช่น การสแกนระบบอย่างต่อเนื่อง การรันคำสั่งอัตโนมัติ หรือการเข้าถึงทรัพยากรจำนวนมากในเวลาสั้น ๆ ควบคู่กับแนวคิด Zero Trust ที่ไม่เชื่อถือผู้ใช้หรือระบบใด ๆ โดยอัตโนมัติ รวมถึงการป้องกัน API, credential และ access token ซึ่งเป็นจุดเริ่มต้นที่ AI มักใช้ในการโจมตี

ปัจจุบัน การโจมตีด้วย AI Agent ยังอยู่ในช่วงเริ่มต้น แต่ถูกมองว่าเป็น แนวโน้มภัยไซเบอร์สำคัญในอนาคตอันใกล้ ผู้ให้บริการด้านความปลอดภัยและหน่วยงานวิจัยเริ่มออกคำเตือนให้องค์กรเตรียม SOC ให้พร้อมรับมือกับ adversary ที่ทำงานในระดับ machine-speed มากกว่ามนุษย์ เหตุการณ์นี้จึงไม่ใช่เพียงกรณีศึกษาเชิงเทคนิค แต่เป็นสัญญาณเชิงกลยุทธ์ว่าองค์กรต้องยกระดับระบบตรวจจับและตอบสนองให้ “เร็วและฉลาดเท่า AI” มิฉะนั้นความได้เปรียบจะตกอยู่ฝั่งผู้โจมตีอย่างหลีกเลี่ยงไม่ได้

10. ระบบล่มครั้งใหญ่ของ Cloudflare และบทเรียนด้านการจัดการการตั้งค่าระบบ 

เหตุการณ์ระบบเครือข่ายของ Cloudflare หยุดชะงัก ครั้งสำคัญนี้เกิดขึ้นจากความผิดพลาด ในการปรับแต่งค่าคอนฟิกูเรชัน (Configuration) ของเครือข่ายระหว่างการปฏิบัติงานตามขั้นตอนปกติ ส่งผลให้เกิดข้อผิดพลาดในการประกาศเส้นทางรับ-ส่งข้อมูล (Routing) ผ่านโปรโตคอล BGP  จนทำให้ทราฟฟิกอินเทอร์เน็ตในหลายพื้นที่ทั่วโลก รวมถึงในประเทศไทยไม่สามารถเข้าถึงเว็บไซต์และบริการออนไลน์ที่อยู่ภายใต้การดูแลของ Cloudflare ได้ เหตุการณ์นี้ส่งผลกระทบโดยตรงต่อ องค์กรธุรกิจทุกระดับ ตั้งแต่สตาร์ทอัปไปจนถึงบริษัท Enterprise รายใหญ่ในไทย รวมถึงผู้ใช้งานทั่วไปที่ไม่สามารถเข้าถึงแอปพลิเคชัน เว็บไซต์ธนาคาร หรือบริการอีคอมเมิร์ซได้ชั่วคราว สร้างความสูญเสียทางโอกาสทางธุรกิจและกระทบต่อความต่อเนื่องในการทำงาน ของฝ่ายไอทีที่ต้องรับมือกับการสอบถามจำนวนมากจากผู้ใช้บริการ

สำหรับการแก้ปัญหา Cloudflare ได้เร่งดำเนินการย้อนกลับ การตั้งค่าที่ผิดพลาดทันทีที่ตรวจพบความผิดปกติ และระดมทีมวิศวกรเพื่อกู้คืนเส้นทางเครือข่ายให้กลับมาเสถียรภายในระยะเวลาอันสั้น พร้อมทั้งออกมาแถลงการณ์แสดงความรับผิดชอบและชี้แจงสาเหตุเชิงลึก (Post-mortem) อย่างโปร่งใส ปัจจุบันสถานการณ์กลับมาเป็นปกติแล้ว แต่เหตุการณ์นี้ได้กลายเป็นจุดเปลี่ยนสำคัญที่ทำให้องค์กรในไทยเริ่มหันมาตื่นตัวเรื่องกลยุทธ์ Multi-CDN หรือการมีระบบสำรองมากกว่าหนึ่งผู้ให้บริการ เพื่อลดความเสี่ยงจากการพึ่งพาโครงสร้างพื้นฐานเจ้าใดเจ้าหนึ่งเพียงอย่างเดียว (Single Point of Failure) และเน้นย้ำถึงความสำคัญของการตรวจสอบความเปลี่ยนแปลงของระบบ (Change Management) ที่ต้องมีความรัดกุมสูงสุด

จาก 10 เหตุการณ์ในปี 2025 สะท้อนชัดว่า “ภัยไซเบอร์ยุคนี้” มาได้ทั้งจาก ช่องโหว่ Zero Day, Ransomware, Social Engineering, Third-Party/OAuth ไปจนถึงการโจมตีที่เร็วระดับ AI ดังนั้นองค์กรควรโฟกัส 3 เรื่องหลักคือ รู้จักทรัพย์สินและความเสี่ยงของตัวเอง, อุดช่องโหว่ให้ไว และ คุมสิทธิ์การเข้าถึงให้แน่น (MFA/Zero Trust) พร้อมเฝ้าระวังและตอบสนองได้อย่างรวดเร็ว เพื่อทำให้ทำได้จริงในชีวิตประจำวัน การมีแพลตฟอร์มที่ช่วยบริหารแบบรวมศูนย์และอัตโนมัติจะลด “ช่องว่าง” ได้มากขึ้น เช่น การจัดการแพตช์/ช่องโหว่ การควบคุมตัวตนและสิทธิ์ และการมอนิเตอร์เหตุการณ์แบบ End to End ซึ่งเป็นจุดที่โซลูชันของ ManageEngine สามารถช่วยให้องค์กรลดความเสี่ยงและเพิ่มความพร้อมรับมือเหตุการณ์ได้อย่างเป็นระบบมากขึ้น

References

Nation Thailand — “Thai servers breached, caused 16.57% higher cyber incidents in Q2 2025: Kaspersky” (July 18, 2025)
T-Reg — “สรุปเหตุการณ์ข้อมูลรั่วไหล เดือนเมษายน 2568” (2025)
Nation Thailand — “More than 21K spyware attacks on Thai businesses in H1 2025” (November 12, 2025)
Active Media Thailand (Facebook) — “แฮกเกอร์ใช้เครื่องมือ RMM เจาะระบบขนส่งสินค้า ขโมยตู้สินค้าและพัสดุ” (2025)
ThaiCERT — “แฮกเกอร์ใช้เครื่องมือควบคุมระบบจากระยะไกล (RMM) โจมตีองค์กร” (November 5, 2025)
ManageEngine — “5 Ways Endpoint Security Solutions Could Have Stopped Breaches in 2025” (2025)
Thairath — “เตือนภัยข้อมูลส่วนบุคคลรั่วไหล กระทบประชาชนจำนวนมาก” (2025)
BBC News — “(BBC) Qantas contact center data breach report” (2025)
Digital Health — “NHS trust launches legal action after hackers steal patient and staff data” (ธันวาคม 2025)
TechTalkThai — “Cisco warns ASA firewall zero-days exploited in attacks” (2025)
CISA — “ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices” (25 กันยายน , 2025)
Anthropic — “Disrupting AI-Driven Espionage and Cyberattacks” (2025)
ManageEngine — “Cloudflare outage highlights need for robust endpoint and network monitoring” (2025)