แลนด์สเคป Ransomware ในไทย 2026: ใครคือเป้าหมายอันดับหนึ่ง

ภูมิทัศน์ ransomware ในไทย ณ ต้นปี 2026

จาก threat advisory สาธารณะของ ThaiCERT ที่เผยแพร่ในรอบ 12 เดือน นับถึงพฤษภาคม 2026 มีเหตุการณ์ที่ถูกระบุว่าเป็น ransomware อย่างน้อย 47 เหตุการณ์ที่กระทบองค์กรไทยในระดับที่ต้องประกาศ incident ตัวเลขจริงสูงกว่านี้แน่นอน เนื่องจากองค์กรหลายแห่งเลือกไม่ประกาศต่อสาธารณะ ตามรายงาน Sophos State of Ransomware 2025 อัตราการเปิดเผยเหตุการณ์ ในเอเชียตะวันออกเฉียงใต้อยู่ที่ราว 38% เทียบกับ 71% ในสหภาพยุโรป ที่มี NIS2 Directive บังคับให้แจ้งภายใน 24 ชั่วโมง

แนวโน้มสำคัญสามประการที่กอง Cyber Brief เห็นในรอบปีที่ผ่านมา

หนึ่ง — เป้าหมายเล็กลง ค่าเฉลี่ยขนาดองค์กรเหยื่อ ลดลงจาก 1,200 พนักงานในปี 2023 มาที่ราว 600 พนักงานในปี 2025 สะท้อนว่ากลุ่ม affiliate เลือกองค์กรกลางที่ไม่มี SOC ในประเทศ และมีงบ cybersecurity จำกัด เพื่อเพิ่มโอกาสจ่ายค่าไถ่

สอง — ค่าไถ่เล็กลงแต่จำนวนมากขึ้น ค่าเฉลี่ย ค่าไถ่ในภูมิภาคลดลงจาก 1.8 ล้านดอลลาร์ในปี 2023 มาที่ราว 450,000 ดอลลาร์ ในปี 2025 ตามรายงาน Coveware Q4 2025 แต่จำนวนเหตุการณ์ในเอเชีย เพิ่มขึ้นกว่าสองเท่า กลยุทธ์ “volume over jackpot” ทำให้องค์กรขนาดกลางตกเป็นเป้าหมายมากขึ้น

สาม — double extortion เป็นมาตรฐานเกือบทุกกลุ่มที่ active ในปี 2025 ใช้ทั้งการเข้ารหัสและการขโมยข้อมูล ออกไปก่อน (data exfiltration) จากนั้นโพสต์ตัวอย่างใน leak site เพื่อกดดันให้จ่าย รายงาน Mandiant M-Trends ระบุว่า 84% ของเหตุการณ์ ที่ Mandiant รับ engagement ในเอเชียในปี 2025 มี data exfiltration ก่อนการเข้ารหัส

5 อุตสาหกรรมที่เป็นเป้าหมายมากที่สุดในไทย

จากการจำแนกเหตุการณ์ที่ปรากฏใน ThaiCERT advisory และข่าวสาธารณะ ในรอบ 12 เดือน อุตสาหกรรมที่ตกเป็นเหยื่อมากที่สุดในไทยมีลำดับดังนี้

1. โรงพยาบาลและเครือคลินิก

คิดเป็นราว 28% ของเหตุการณ์ที่ปรากฏ — สาเหตุชัดเจน ระบบ EMR หยุดไม่ได้แม้แต่หนึ่งชั่วโมง ทำให้ผู้บริหารโรงพยาบาล มีแรงจูงใจสูงในการจ่ายค่าไถ่เพื่อกู้คืนการให้บริการ กลุ่ม INC Ransom และ Akira ใช้กลยุทธ์เจาะ VPN appliance ของ Fortinet หรือ Citrix ที่ค้าง patch แล้วใช้ valid account ของ admin ในการ pivot ข้อสังเกตของกอง Cyber Brief คือโรงพยาบาลขนาดกลาง (200–800 เตียง) ในต่างจังหวัดมีความเสี่ยงสูงกว่าโรงพยาบาลในกรุงเทพฯ เนื่องจาก ทีมไอทีในต่างจังหวัดมีกำลังคนน้อยกว่า และ MSP ที่ให้บริการ มักทำหน้าที่หลายลูกค้าพร้อมกัน ทำให้ patch cadence ช้ากว่ามาตรฐาน

2. สถาบันการเงินขนาดกลางและสหกรณ์

คิดเป็นราว 19% สหกรณ์การเงินที่มีฐานข้อมูลสมาชิกหลายแสนรายเป็นเป้าที่ ผู้โจมตีให้คุณค่าสูง เพราะข้อมูล PII + เอกสารกู้สามารถนำไป monetize ใน dark web ได้แม้องค์กรไม่จ่ายค่าไถ่ Play และ BlackSuit ใช้วิธี compromise พนักงานผ่านอีเมล spear phishing ที่ใช้ AI generate เนื้อหา แล้วใช้ malicious LNK file ในไฟล์แนบเพื่อ initial access ปี 2025 ปรากฏการณ์ที่ vendor หลายค่ายเรียกว่า “AI-assisted phishing” ทำให้ click-through rate เพิ่มขึ้นกว่า 50% เทียบกับ phishing แบบเดิม

3. โลจิสติกส์และคลังสินค้า

คิดเป็นราว 15% ประเทศไทยเป็น regional hub ของ logistics ในเอเชีย ตะวันออกเฉียงใต้ ทำให้ระบบ TMS (Transportation Management System) และ WMS (Warehouse Management System) ของบริษัท freight forwarder ขนาดกลางเป็นเป้าที่น่าสนใจสำหรับผู้โจมตี กลยุทธ์ที่พบบ่อยคือเจาะผ่าน third-party software ที่บริษัทใช้ร่วมกับลูกค้า ทำให้เหตุการณ์เดียว กระทบหลายองค์กรพร้อมกัน

4. สถาบันการศึกษาและมหาวิทยาลัย

คิดเป็นราว 13% มหาวิทยาลัยมี attack surface ที่ใหญ่ผิดปกติ — เครื่อง endpoint นับหมื่นเครื่อง ไม่มี EDR บนทุกเครื่อง นิสิตและคณาจารย์ ใช้อุปกรณ์ส่วนตัวเชื่อมต่อระบบของมหาวิทยาลัย และข้อมูลวิจัย บางส่วนมีมูลค่าสูง 8Base และ Hunters International เป็นกลุ่มที่ targeting การศึกษาเป็นพิเศษในเอเชียในช่วงปี 2024–2025

5. หน่วยงานราชการระดับท้องถิ่น

คิดเป็นราว 11% เทศบาลและหน่วยงานท้องถิ่นถูกโจมตีบ่อยขึ้น เพราะมี attack surface เปิดสาธารณะ (e-service portal) งบ cybersecurity จำกัด และผู้ดูแลระบบเดียวกันรับผิดชอบหลายระบบ ในต่างประเทศมีรูปแบบเดียวกัน — เทศบาลใน Texas, Costa Rica และ Florida เคยเป็นเหยื่อ ransomware ที่หยุดบริการประชาชน เป็นสัปดาห์ บทเรียนคือผู้บริหารท้องถิ่นในไทยควรเริ่มจัดงบ cyber insurance และ tabletop exercise โดยไม่ต้องรอเหตุการณ์เกิดในประเทศ

กลุ่ม ransomware ที่ active ในเอเชียปี 2026

ตารางต่อไปนี้สรุปกลุ่มที่กอง Cyber Brief เห็นปรากฏใน leak site และ threat advisory บ่อยที่สุดในรอบ 12 เดือนนับถึงพฤษภาคม 2026

กลุ่มเหล่านี้ไม่ได้แยกขาดจากกัน — affiliate รายเดียวอาจทำงานให้ หลายแบรนด์พร้อมกัน และเครื่องมือมัก share กันผ่าน underground marketplace ในตลาด initial access broker

รูปแบบการโจมตี: vector ที่พบบ่อยที่สุด

จากการวิเคราะห์ TTPs ที่ปรากฏใน threat advisory และ Mandiant M-Trends vector ที่ใช้ในเหตุการณ์ที่กระทบองค์กรในเอเชียมากที่สุดในปี 2025 มีสามอันดับชัดเจน

อันดับหนึ่ง: เจาะ public-facing appliance ที่ค้าง patch — CVE ใน Fortinet FortiOS, Ivanti Connect Secure, Citrix NetScaler และ Palo Alto GlobalProtect เป็นวงจรที่ซ้ำในทุกไตรมาส กลุ่ม Akira ใช้ CVE-2024-40766 ของ SonicWall เป็นวงเข้าหลักในช่วงปลายปี 2024 บทเรียนคือ เวลาระหว่างการประกาศ CVE กับการ exploit จริงสั้นลงจาก 32 วันโดยเฉลี่ยในปี 2022 มาเหลือเพียง 5 วันในปี 2025 ตามรายงาน Mandiant

อันดับสอง: stolen credentials + MFA bypass — Initial Access Broker (IAB) เปิดประมูล credentials ของ admin ใน underground forum ราคาเฉลี่ย $750–$2,000 ต่อชุดสำหรับองค์กร ขนาดกลาง MFA แบบ SMS-based ไม่เพียงพออีกต่อไป เพราะมี SIM swap และ adversary-in-the-middle phishing (AiTM) ที่ดักจาก session cookie องค์กรไทยที่ใช้ Microsoft 365 ควรพิจารณา conditional access policy และ FIDO2 key

อันดับสาม: supply chain compromise — เจาะ MSP หรือ software vendor หนึ่งราย แล้วใช้ trusted channel กระจาย payload ให้ลูกค้าหลายราย เหตุการณ์ที่กระทบบริษัท MSP หนึ่งในไทยช่วงปลายปี 2024 ทำให้ลูกค้าราว 30 องค์กรโดน ransomware พร้อมกันในคืนเดียว นี่เป็น vector ที่ป้องกันยากที่สุด เพราะ trust boundary อยู่นอกองค์กรเจ้าของระบบ

7 มาตรการที่องค์กรไทยควรเริ่มทำทันที

ทั้ง 7 ข้อนี้ไม่ต้องอนุมัติงบประมาณรอบใหม่ ใช้คนและเครื่องมือที่มีอยู่แล้วได้ เรียงจากผลกระทบสูงสุดต่อต้นทุนต่ำสุด

1. Patch appliance ที่ public-facing ภายใน 72 ชั่วโมงหลังประกาศ CVE ระดับ critical จัด maintenance window ฉุกเฉินไว้ ในกระบวนการ change management
2. เปิด MFA แบบ phishing-resistant (FIDO2/passkey)สำหรับ admin account ทุกบัญชี ภายในเดือนหน้า MFA แบบ SMS ใช้ได้ เฉพาะกับบัญชี end-user เท่านั้น
3. มี backup offline + immutable ที่ทดสอบกู้คืนทุก 90 วันBackup ที่ไม่เคยทดสอบเทียบเท่ากับไม่มี backup ทดสอบ restore เป็น scope สำคัญที่สุดของ DR drill
4. Network segmentation ระหว่าง IT และ OT/ระบบสำคัญปกป้องเครื่อง EMR ของโรงพยาบาล หรือ ERP ของโรงงาน ไม่ให้ ransomware แพร่จาก endpoint ทั่วไป
5. EDR ที่มี behavioral analytics + rollbackติดตั้งบน endpoint ทุกตัว ไม่ใช่เฉพาะเซิร์ฟเวอร์ ผู้โจมตี สมัยใหม่เริ่มจาก workstation ของพนักงาน
6. Tabletop exercise สำหรับ ransomware ทุก 6 เดือนฝึก team SOC + ผู้บริหาร + ฝ่ายสื่อสาร + legal ให้รู้ playbook ในวันที่เกิดเหตุจริง การตัดสินใจไม่ใช่เวลาเรียนรู้
7. ติดต่อ ThaiCERT และ NCSA ล่วงหน้าไม่ต้องรอเกิดเหตุก่อนถึงจะหาเบอร์ติดต่อ ThaiCERT มีบริการ CISO Advisory และ Threat Intelligence Sharing ให้องค์กรไทย ฟรี

ทิศทาง 2026: สิ่งที่กอง Cyber Brief จับตา

สามแนวโน้มที่เราจะติดตามอย่างใกล้ชิดในรอบ 12 เดือนข้างหน้า

AI-generated phishing ที่ Thai-fluent — ช่วงต้นปี 2025 ภาษาไทยใน phishing email มักผิดไวยากรณ์ ทำให้ end user สังเกตได้ แต่ภายในไตรมาส 4 ของปี 2025 LLM commercial-grade ทำให้คุณภาพภาษา เทียบเคียงเจ้าของภาษา การพึ่งพา “พนักงานจะสังเกตได้” ไม่ใช่ defense layer ที่นับได้อีกต่อไป

Targeting OT/ICS ในการผลิตและสาธารณูปโภค — ในยุโรปและสหรัฐ การโจมตี ICS เพิ่มขึ้นชัด ๆ ในปี 2025 ประเทศไทย ยังไม่เห็นเหตุการณ์ระดับ headline แต่ผู้เขียนเห็นว่าเป็นเรื่อง ของเวลาเท่านั้น ผู้บริหารโรงไฟฟ้า ปิโตรเคมี และ smart factory ควรเริ่มแยก IT/OT network และมี Purdue Model อย่างจริงจัง

กฎหมายในประเทศที่เข้มขึ้น — พ.ร.บ. คุ้มครองข้อมูล ส่วนบุคคล (PDPA) และ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เริ่มมีการบังคับใช้จริงในปี 2025 องค์กรที่โดน ransomware และไม่แจ้งภายในกำหนดต้องเผชิญทั้งค่าไถ่ ค่ากู้คืน และค่าปรับ ตามกฎหมาย ทำให้ “จ่ายเงียบ ๆ” ไม่ใช่ทางเลือกที่ปลอดภัยอีกต่อไป

แหล่งอ้างอิงและบทอ่านต่อ

• ThaiCERT — Threat Advisory และรายงานเหตุการณ์
• ETDA — Electronic Transactions Development Agency
• ENISA Threat Landscape Report
• Sophos — State of Ransomware (รายปี)
• MITRE ATT&CK Framework
• อ่านต่อ — Endpoint Security คืออะไร: จาก Antivirus ถึง XDR ในภาษามนุษย์
• อ่านต่อ — Seqrite vs Kaspersky: เปรียบเทียบสำหรับองค์กรไทย 2026

คำถามที่พบบ่อย