ข่าวดีจากโลกไซเบอร์เซกิวริตี้มาถึงแล้ว อัตราการจ่ายค่าไถ่ให้กับแฮกเกอร์ Ransomware ในไตรมาสที่ 3 ปี 2025 ร่วงลงสู่ระดับต่ำสุดเป็นประวัติการณ์ที่เพียง 23% จากเดิมที่เคยสูงถึง 70% เมื่อปี 2020 ขณะที่จำนวนเงินค่าไถ่เฉลี่ยที่จ่ายจริงก็ลดลง 66% เหลือเพียง 377,000 ดอลลาร์สหรัฐ สาเหตุหลักมาจากองค์กรต่างๆ เตรียมพร้อมดีขึ้นด้วยระบบสำรองข้อมูลที่แข็งแกร่ง หน่วยงานบังคับใช้กฎหมายกดดันไม่ให้จ่ายเงิน และที่สำคัญคือทนายความและที่ปรึกษาด้านความเป็นส่วนตัวเริ่มแนะนำไม่ให้จ่ายเงินเป็นนโยบายหลัก ส่งผลให้แฮกเกอร์เริ่มหมดลมหายใจและต้องปรับกลยุทธ์ใหม่ แต่พร้อมกันนั้นก็มีความเสี่ยงใหม่เกิดขึ้นจากการโจมตีแบบกำหนดเป้าหมายเฉพาะองค์กรขนาดใหญ่และพยายามติดสินบนพนักงานภายในองค์กรมากขึ้น ซึ่งสะท้อนว่าแม้สงครามกับ Ransomware จะไปได้ดีขึ้น แต่ยังต้องระวังภัยใหม่ที่อาจรุนแรงกว่าเดิม
ตัวเลขทำสถิติใหม่ในไตรมาสที่ 3 ปี 2025
อัตราการจ่ายค่าไถ่ Ransomware ในไตรมาสที่ 3 ปี 2025 ร่วงลงสู่ระดับต่ำสุดในประวัติศาสตร์ที่เพียง 23% เท่านั้น จากข้อมูลของบริษัท Coveware ที่ให้คำปรึกษาด้านการรับมือเหตุการณ์ Ransomware ตัวเลขนี้ต่ำกว่าปี 2020 ที่เคยมีอัตราการจ่ายสูงถึง 70% และยังลดลงอย่างต่อเนื่องจากปี 2021 ที่อยู่ที่ 50% และปี 2022 ที่เหลือ 41% ส่วนกรณีที่แฮกเกอร์ขโมยข้อมูลอย่างเดียวโดยไม่ได้เข้ารหัสล็อกระบบ อัตราการจ่ายค่าไถ่ยิ่งต่ำลงเหลือเพียง 19% เท่านั้น ซึ่งเป็นสถิติต่ำสุดอีกเช่นกัน
ยอดเงินค่าไถ่ที่จ่ายจริงในไตรมาสที่ 3 ปี 2025 ก็ร่วงลงอย่างมาก โดยยอดเงินค่าไถ่เฉลี่ย (average) อยู่ที่ 376,941 ดอลลาร์สหรัฐ ลดลง 66% จากไตรมาสก่อนหน้า ขณะที่ค่ามัธยฐาน (median) อยู่ที่ 140,000 ดอลลาร์สหรัฐ ลดลง 65% ตัวเลขนี้ต่ำกว่าช่วงต้นปี 2024 มากเมื่อเทียบกับค่ามัธยฐานที่เคยสูงถึง 250,000 ดอลลาร์สหรัฐในไตรมาสแรก
นอกจากนี้ ยอดรวมรายได้จากการโจมตี Ransomware ในปี 2024 ก็ลดลงจาก 1.1 พันล้านดอลลาร์สหรัฐในปี 2023 เหลือเพียงประมาณ 813-814 ล้านดอลลาร์สหรัฐ ลดลง 35% สะท้อนให้เห็นว่าอาชญากรไซเบอร์กำลังสูญเสียรายได้อย่างมีนัยสำคัญ
ทำไมองค์กรเลิกจ่ายเงินค่าไถ่
สาเหตุหลักที่ทำให้อัตราการจ่ายเงินค่าไถ่ลดลงอย่างรวดเร็วมาจากหลายปัจจัยที่สำคัญ อันดับแรกคือระบบสำรองข้อมูลที่แข็งแกร่งขึ้น องค์กรต่างๆ ลงทุนในระบบ backup ที่สามารถกู้คืนข้อมูลได้อย่างรวดเร็ว ทำให้ไม่จำเป็นต้องพึ่งพาตัวถอดรหัสจากแฮกเกอร์อีกต่อไป ประกอบกับการแบ่งแยกเครือข่าย (network segmentation) และการเพิ่มความปลอดภัยของระบบโดยรวมก็ช่วยลดผลกระทบจากการโจมตี
ปัจจัยที่สองคือแรงกดดันจากหน่วยงานบังคับใช้กฎหมาย หลายประเทศเริ่มออกแนวปฏิบัติไม่ให้องค์กรจ่ายเงินค่าไถ่ เพราะเงินเหล่านี้ไปหล่อเลี้ยงแก๊งอาชญากรและทำให้มีการโจมตีใหม่เพิ่มมากขึ้น ในไตรมาสที่ 4 ปี 2024 หน่วยงานบังคับใช้กฎหมายทั่วโลกได้ทำการจับกุมและปิดกลุ่มอาชญากรรายใหญ่หลายกลุ่ม เช่น LockBit, Snowflake, Meta Infostealer และ Scattered Spider
ปัจจัยที่สามและสำคัญมากคือทัศนคติของทนายความและที่ปรึกษาด้านความเป็นส่วนตัว ตามรายงานของ Coveware ระบุว่าทนายความที่เคยแนะนำให้จ่ายเงินเพื่อปิดปากแฮกเกอร์ไม่ให้เปิดเผยข้อมูลนั้น กำลังสูญพันธุ์ไป เพราะข้อมูลแสดงให้เห็นว่าแฮกเกอร์ไม่น่าเชื่อถือและการจ่ายเงินไม่สามารถป้องกันการแพร่กระจายข้อมูลได้จริง ปัจจุบันนโยบายหลักคือ “ไม่จ่าย” เป็นจุดเริ่มต้น และถือว่าการจ่ายเงินแม้จำนวนน้อยก็ยังช่วยหล่อเลี้ยงระบบเศรษฐกิจของอาชญากร
ผลกระทบต่อแก๊งอาชญากรไซเบอร์
การที่รายได้ลดลงอย่างรวดเร็วทำให้แก๊งอาชญากร Ransomware ต้องเผชิญกับวิกฤตทางการเงิน อย่างรุนแรง ในอดีตการโจมตี Ransomware มีต้นทุนต่ำและกำไรสูง แต่เมื่อรูปแบบ Ransomware-as-a-Service (RaaS) เติบโตขึ้น ต้นทุนการดำเนินงานก็สูงขึ้นตามไปด้วย เช่น ต้องจ้างคนมากขึ้น ต้องมีค่าใช้จ่ายในการเช่าเซิร์ฟเวอร์ปลอดภัย ค่าจัดการเว็บไซต์เปิดเผยข้อมูล และต้องแบ่งเงินให้กับพันธมิตรที่ช่วยโจมตี
เมื่อกำไรหดตัว ความขัดแย้งภายในแก๊งอาชญากรก็เพิ่มขึ้น บางกลุ่มต้องยุบตัวหรือประกาศเปลี่ยนไปทำการขโมยข้อมูลอย่างเดียวโดยไม่เข้ารหัสระบบ ในปี 2024 มีกลุ่มอาชญากรรายใหญ่สองกลุ่มล้มสลายลง เปิดเผยการโกงหลอกลวงและความไม่ไว้วางใจภายในองค์กร
สถานการณ์นี้บังคับให้แก๊งอาชญากรต้องปรับกลยุทธ์ใหม่ แทนที่จะโจมตีแบบสุ่ม (opportunistic attacks) กับองค์กรขนาดกลางจำนวนมาก พวกเขาเริ่มหันไปโจมตีแบบกำหนดเป้าหมาย (targeted attacks) กับองค์กรขนาดใหญ่ที่จ่ายเงินได้มากขึ้น มีการใช้วิธีใหม่ๆ เช่น Social Engineering กับฝ่ายช่วยเหลือผู้ใช้งาน (helpdesk) หรือแม้กระทั่งติดสินบนพนักงานภายในองค์กรเพื่อเข้าถึงระบบ
กรณีศึกษาที่น่าสนใจ – การติดสินบนพนักงาน BBC
หนึ่งในกรณีที่น่าสนใจที่สุดในไตรมาสที่ 3 ปี 2025 คือกรณีแก๊ง Medusa พยายามติดสินบนพนักงาน BBC โดยสมาชิกของแก๊งได้ติดต่อพนักงานคนหนึ่งของ BBC และเสนอค่าตอบแทน 15% ของเงินค่าไถ่ที่จะได้รับ ถ้าพนักงานคนนั้นยินยอมให้เข้าถึงเครือข่ายคอมพิวเตอร์ของบริษัทเพื่อนำไปติดตั้ง Ransomware และล็อกข้อมูล
กรณีนี้แสดงให้เห็นถึงการเปลี่ยนแปลงครั้งใหญ่ในกลยุทธ์ของอาชญากร ในอดีต Insider Threat (ภัยคุกคามจากภายใน) มักจะเป็นเรื่องของพนักงานที่ไม่พอใจขโมยข้อมูลไปเอง แต่นี่เป็นครั้งแรกที่แก๊ง Ransomware แบบดั้งเดิมพยายามจ้างพนักงานภายในให้ช่วยติดตั้งมัลแวร์เข้ารหัสข้อมูล สะท้อนว่าเมื่อวิธีการเดิมๆ ไม่ได้ผล อาชญากรกำลังพยายามหาช่องทางใหม่ที่มีต้นทุนสูงขึ้นแต่มีโอกาสสำเร็จมากขึ้น
Coveware ประเมินว่าแนวโน้มนี้จะเพิ่มมากขึ้น โดยเฉพาะกับองค์กรขนาดใหญ่ที่มีระบบรักษาความปลอดภัยดี ทำให้การโจมตีแบบเดิมไม่สามารถเข้าถึงได้ องค์กรต่างๆ จึงต้องเร่งประเมินและเสริมความแข็งแกร่งของโปรแกรมป้องกัน Insider Threat ให้ทันสมัยมากขึ้น
แก๊ง Ransomware ยอดนิยมในไตรมาสที่ 3 ปี 2025
แก๊งอาชญากรที่โดดเด่นที่สุดในไตรมาสที่ 3 ปี 2025 คือ Akira ซึ่งครองส่วนแบ่งตลาดสูงถึง 34% โดยกลุ่มนี้ใช้กลยุทธ์โจมตีปริมาณมากกับองค์กรขนาดกลาง มีการใช้ช่องโหว่ของซอฟต์แวร์ที่ทำให้มีการโจมตีเพิ่มขึ้นเป็นสถิติใหม่ในช่วงเดือนกรกฎาคมถึงสิงหาคม แม้ว่าจะเรียกเงินค่าไถ่ในจำนวนต่ำกว่าค่าเฉลี่ย แต่อัตราการจ่ายเงินกลับสูงกว่าค่าเฉลี่ย เนื่องจากโจมตีองค์กรขนาดกลางจำนวนมากที่มีความพร้อมรับมือต่ำกว่า
อันดับสองคือ Qilin ที่มีส่วนแบ่งตลาด 10% ส่วนอันดับอื่นๆ ได้แก่ Lone Wolf (6%), Lynx (5%), Shiny Hunters (4%) และ KAWA4096 (4%) ข้อมูลนี้แสดงให้เห็นว่าตลาด Ransomware ยังคงมีแก๊งอาชญากรหลักที่ทำงานอย่างต่อเนื่อง แม้สภาพแวดล้อมจะยากลำบากขึ้น
ช่องทางการโจมตีหลักที่พบในไตรมาสที่ 3 ยังคงเป็นการเจาะระบบเข้าถึงจากระยะไกล (Remote Access Compromise) ที่คิดเป็นมากกว่าครึ่งหนึ่งของทุกกรณี โดยแฮกเกอร์ใช้ข้อมูลเข้าสู่ระบบที่ถูกขโมยผ่าน VPN, Cloud Gateway และ SaaS อีกช่องทางสำคัญคือ Social Engineering ที่แฮกเกอร์หลอกให้เจ้าหน้าที่ IT หรือ Helpdesk ให้สิทธิ์การเข้าถึง
ข้อจำกัดและความเสี่ยงที่ยังคงมีอยู่
แม้ตัวเลขจะดูดีขึ้น แต่ Ransomware ยังคงเป็นภัยคุกคามที่ร้ายแรง จำนวนการโจมตีในปี 2025 กลับเพิ่มขึ้นเป็นสถิติใหม่ โดยมีรายงานการโจมตีถึง 886 ครั้งในเดือนกุมภาพันธ์ 2025 ซึ่งสูงที่สุดในประวัติศาสตร์ สาเหตุมาจากรูปแบบ RaaS ที่ทำให้อาชญากรที่มีความสามารถน้อยก็สามารถเปิดตัวโจมตีได้ง่ายขึ้น
ความเสี่ยงใหม่ที่เพิ่มขึ้นคือการโจมตีแบบกำหนดเป้าหมายกับองค์กรขนาดใหญ่ที่มีงบประมาณสูง ซึ่งแม้อัตราความสำเร็จจะต่ำ แต่ถ้าสำเร็จจะได้เงินค่าไถ่สูงมาก ตัวอย่างเช่น ในปี 2024 มีรายงานการจ่ายเงินค่าไถ่สูงสุดถึง 75 ล้านดอลลาร์สหรัฐ แสดงว่าแม้อัตราการจ่ายจะลดลง แต่จำนวนเงินต่อรายที่จ่ายกลับสูงขึ้น
อีกความเสี่ยงหนึ่งคือความประมาทเกินไป หลายองค์กรเริ่มให้ความสำคัญกับ Ransomware น้อยลงเพราะเห็นว่าข่าวการโจมตีเริ่มไม่น่าตื่นเต้นเหมือนเดิม แม้แต่ผู้บริหารระดับสูงบางแห่งก็เริ่มลดความสำคัญของการป้องกัน Ransomware ลงไปทำหัวข้ออื่นเช่น AI หรือภัยคุกคามจากรัฐ นี่เป็นอันตรายเพราะ Ransomware ยังคงเป็นภัยคุกคามที่แท้จริงและต่อเนื่อง
นอกจากนี้ แฮกเกอร์ยังพัฒนาวิธีการใหม่ๆ อย่าง Social Engineering ที่ซับซ้อนขึ้น เช่น การปลอมตัวเป็นเจ้าหน้าที่ SaaS Support หรือการใช้ Callback Phishing เพื่อหลอกให้เหยื่อโทรกลับไปเอง บางกลุ่มเช่น Silent Ransom (Luna Moth) เน้นโจมตีเฉพาะบริษัทประกันภัยและสำนักงานกฎหมายเท่านั้น แสดงให้เห็นการทำ Targeted Attacks ที่มากขึ้น
บทสรุป
การที่อัตราการจ่ายค่าไถ่ Ransomware ลดลงสู่ระดับต่ำสุดในประวัติศาสตร์ถือเป็นชัยชนะร่วมกันของนักรักษาความปลอดภัยไซเบอร์ หน่วยงานบังคับใช้กฎหมาย ทนายความ และที่ปรึกษาด้านความเป็นส่วนตัว ความร่วมมือนี้ช่วยตัดเส้นเลือดของอาชญากรไซเบอร์ด้วยการลดรายได้ Bitcoin ที่พวกเขาได้รับ อย่างไรก็ตาม สงครามยังไม่จบ เพราะแฮกเกอร์กำลังปรับตัวด้วยการหันมาโจมตีเป้าหมายเฉพาะและใช้วิธีการใหม่ที่ซับซ้อนมากขึ้น เช่น การติดสินบนพนักงานภายใน
สำหรับประเทศไทย แนวโน้มนี้เป็นทั้งโอกาสและความท้าทาย องค์กรไทยควรเร่งลงทุนในระบบสำรองข้อมูลที่แข็งแกร่ง ฝึกอบรมพนักงานเรื่อง Social Engineering และสร้างนโยบายชัดเจนว่าไม่จ่ายเงินค่าไถ่ การร่วมมือกับหน่วยงานบังคับใช้กฎหมายเมื่อเกิดเหตุก็มีความสำคัญ เพราะข้อมูลแสดงว่า 63% ขององค์กรที่ร่วมมือกับตำรวจสามารถหลีกเลี่ยงการจ่ายเงินได้ ความตื่นตัวและการเตรียมพร้อมคือกุญแจสำคัญในการป้องกันภัยคุกคามที่กำลังพัฒนาอยู่ตลอดเวลา
คำอธิบายศัพท์เทคนิค
Ransomware – มัลแวร์ที่เข้ารหัสไฟล์ในคอมพิวเตอร์หรือล็อกระบบ แล้วเรียกค่าไถ่เป็นเงินเพื่อปลดล็อก
Ransomware-as-a-Service (RaaS) – รูปแบบธุรกิจที่ผู้พัฒนา Ransomware ให้บริการเครื่องมือโจมตีแก่พันธมิตร (affiliate) และแบ่งเงินค่าไถ่กัน
Data Exfiltration – การขโมยข้อมูลออกจากระบบเหยื่อเพื่อขู่เผยแพร่สู่สาธารณะถ้าไม่จ่ายเงิน
Social Engineering – เทคนิคหลอกลวงที่ใช้จิตวิทยาเพื่อหลอกให้เหยื่อเปิดเผยข้อมูลหรือให้สิทธิ์เข้าถึงระบบ
Insider Threat – ภัยคุกคามจากบุคคลภายในองค์กร เช่น พนักงานที่ขโมยข้อมูลหรือถูกติดสินบนให้ช่วยแฮกเกอร์
