Tajland se pokazao kao značajna meta za sofisticirane napade ransomware-a, s dramatičnim porastom sajber kampanja od 240% zabilježenim u 2024. u odnosu na prethodnu godinu.
Ovaj porast odražava pojačane geopolitičke tenzije i strateški interes za rastuću digitalnu ekonomiju Tajlanda, što je stvorilo plodno tlo za hakere sajber prijetnji koji traže finansijsku dobit ili obavještajne podatke.
Položaj nacije kao regionalnog finansijskog čvorišta i njena brza digitalna transformacija nenamjerno su izložili kritičnu infrastrukturu eksploataciji, stvarajući ranjivosti koje hakeri aktivno iskorišćavaju.
Pejzaž ransomware-a na Tajlandu značajno je evoluirao od početka 2023. godine, a napadi su postali ciljaniji i tehnički napredniji.
Prema nedavnim podacima, žrtve ransomware-a na Tajlandu su se pet puta povećale od 2022. do 2023. godine, sa 35 potvrđenih žrtava, dok je 2025. već zabilježeno 8 žrtava od aprila.
Ovi napadi uglavnom ciljaju web aplikacije, operativne sisteme i baze podataka, demonstrirajući fokus hakera na kompromitaciju osnovne infrastrukture i imovine okrenute korisnicima koja sadrži vrijedne podatke.
Cyfirma istraživači su identifikovali da preko 70% pretnji koje ciljaju Tajland potiče iz Kine i Rusije, uz značajan doprinos i grupa iz Severne Koreje.
.webp)
Njihova analiza otkriva kompleksan pejzaž prijetnji kojim dominiraju i napredne trajne prijetnje koje sponzoriše država (APT) i organizacije sajber kriminalaca, s istaknutim hakerima uključujući MISSION2025, Lazarus Group i TA505 koji pokazuju stalno interesovanje za tajlandske organizacije.
Najalarmantniji nalaz iz Cyfirmine istrage je dominacija LockBit3, koji čini preko 52,78% svih aktivnosti ransomware-a usmjerenih na Tajland.
Druge aktivne grupe kao što su RansomHub i Qilin predstavljaju rastući ekosistem Ransomware-as-a-Service (RaaS), omogućavajući čak i niskokvalifikovanim napadačima da implementiraju sofisticirani maliciozni softver.
Industrija robe široke potrošnje i usluga, IT i proizvodna industrija suočavaju se s najvećim rizikom, vjerovatno zbog njihove ekonomske važnosti i digitalne izloženosti.
.webp)
Unutar lanca infekcije LockBit3
Mehanizam zaraze LockBit3 obično počinje sa phishing porukama e-pošte koje sadrže maliciozne priloge dokumenata ili putem otkrivenih usluga Remote Desktop Protocol (RDP).
Kada se uspostavi početni pristup, maliciozni softver koristi PowerShell skripte za onemogućavanje sigurnosnih funkcija i uspostavljanje postojanosti. Tipična komanda može izgledati ovako:
PowerShell.exe -ExecutionPolicy Bypass -Command "$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String('BASE64_ENCODED_PAYLOAD')); IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd()"Ransomware zatim nabraja mrežne resurse koristeći upite Windows Management Instrumentation (WMI) i koristi alate kao što je Mimikatz za prikupljanje akreditiva prije šifrovanja datoteka robusnim RSA-2048 i AES-256 algoritmima.
Izvor: CyberSecurityNews