Wiper Attack Hospital

Wiper Attack : เมื่อโรงพยาบาลกลายเป็นสนามรบไซเบอร์

เมื่อวันที่ 11 มีนาคม 2569 กลุ่มแฮกเกอร์ Handala ซึ่งเชื่อมโยงกับรัฐบาลอิหร่าน ได้โจมตี บริษัท Stryker ซึ่งเป็นบริษัทผลิตอุปกรณ์การแพทย์ระดับโลกสัญชาติสหรัฐฯ โดยมีรายได้ปีละประมาณ 25,000 ล้านดอลลาร์ โดย Wiper Malware นั้นได้ส่งผลกระทบให้กับระบบมากกว่า 200,000 เครื่องใน 79 ประเทศนั้นถูกลบข้อมูลถาวร และข้อมูลกว่า 50 เทราไบต์ถูกขโมย นับเป็นการโจมตีทางไซเบอร์ที่ใหญ่ที่สุดครั้งหนึ่งในวงการ MedTech

Wiper Malware คืออะไร และต่างจาก Ransomware อย่างไร?
หลายคนอาจคุ้นเคยกับคำว่า Ransomware ซึ่งเป็นมัลแวร์ที่เข้ารหัสข้อมูลแล้วเรียกค่าไถ่ แต่การโจมตี Stryker ครั้งนี้ใช้อาวุธที่อันตรายกว่าคือ Wiper Malware ซึ่งมีจุดประสงค์เดียวคือทำลายข้อมูลให้สิ้นซากโดยไม่มีทางกู้คืน
หลักการทำงานของ Wiper Malware:
- เขียนทับ (Overwrite) ข้อมูลในไฟล์ด้วย null bytes หรือข้อมูลสุ่ม ทำให้กู้คืนไม่ได้แม้ใช้ Forensic Tools
- โจมตี Master Boot Record (MBR) หรือ GUID Partition Table (GPT) เพื่อทำให้ OS บู๊ตไม่ได้
- ลบ Volume Shadow Copies ทำลาย Backup Point ที่ Windows สร้างไว้
- แพร่กระจายผ่านเครือข่ายองค์กรด้วย Lateral Movement
Handala คือใคร และโจมตีเข้ามาจากทางไหน?
เพื่อเข้าใจการโจมตี Stryker อย่างถ่องแท้ ต้องมองภาพใหญ่ก่อน ในความขัดแย้งระหว่างสหรัฐฯ-อิสราเอล-อิหร่านที่ปะทุขึ้นในปี 2568-2569 ไม่ได้จำกัดอยู่แค่สนามรบทางกายภาพ แต่ขยายตัวเข้าสู่ สมรภูมิไซเบอร์ ที่เป็นคู่ขนานและเกิดขึ้นพร้อมกันอย่างแยกไม่ออก
ในอดีต สงครามวัดกันด้วยจำนวนทหาร รถถัง และขีปนาวุธ แต่ในศตวรรษที่ 21 มหาอำนาจทุกฝ่ายต่างพัฒนา Cyber Warfare Unit ของตัวเองอย่างจริงจัง ไม่ว่าจะเป็น Unit 8200 ของอิสราเอล หรือ APT33/APT34 ของอิหร่าน ที่ได้รับการสนับสนุนจากรัฐโดยตรง การโจมตี Stryker จึงไม่ใช่อาชญากรรมไซเบอร์ทั่วไป แต่เป็น ปฏิบัติการทางทหารรูปแบบใหม่ ที่มีเป้าหมายชัดเจน เช่นการทำลายเศรษฐกิจ สร้างความกลัว และเจาะโครงสร้างพื้นฐานของฝ่ายตรงข้าม
Handala (หรือที่รู้จักในชื่อ Hatef และ Hamsa) เป็นกลุ่ม Hacktivist สัญชาติอิหร่านที่ปรากฏตัวครั้งแรกในเดือนธันวาคม 2566 บริษัท Palo Alto Networks ระบุว่ากลุ่มนี้ดำเนินงานภายใต้ชื่อ Void Manticore ซึ่งเป็น Cyber Persona ที่ได้รับการสนับสนุนจากกระทรวงข่าวกรองอิหร่าน (MOIS)
เป้าหมายของ Handala ส่วนใหญ่คือองค์กรอิสราเอลและบริษัทตะวันตกที่มีความเชื่อมโยงกับอิสราเอล เครื่องมือที่ใช้ได้แก่ Phishing, Custom Wiper Malware (Hatef Wiper), Ransomware-style Extortion
Timeline การโจมตี Stryker

จุดน่าสังเกต: Handala ไม่ได้ Deploy Custom Wiper Malware เพียงอย่างเดียว แต่ยังใช้ฟีเจอร์ Remote Wipe ของ Microsoft Intune ซึ่งเป็นเครื่องมือ MDM (Mobile Device Management) ที่บริษัทใช้บริหารจัดการอุปกรณ์พนักงาน นี่เป็น 'Living off the Land' Attack ที่ใช้เครื่องมือที่ถูกกฎหมายในทางที่ผิด ทำให้ตรวจจับยากกว่าการใช้ Malware ทั่วไป
ผู้โจมตีที่เข้าถึง Microsoft Intune Console ในระดับ Global Admin สามารถ:
- สั่ง Wipe อุปกรณ์ทุกเครื่องในองค์กรจากระยะไกลได้ในครั้งเดียว
- ลบข้อมูลทั้งบน Corporate Devices และ Personal Devices ที่ Enroll ใน MDM
- ยกเลิก Certificate และ VPN Profile ทำให้เข้าระบบไม่ได้หลัง Wipe
- พนักงาน Stryker ที่ใช้โทรศัพท์ส่วนตัวเชื่อมต่อ Intune สูญเสียข้อมูลส่วนตัวด้วย
เจาะลึก: Microsoft Stack ที่ถูก Compromise
ในเคสนี้ Handala ไม่ได้แค่ Drop Wiper Malware แล้วรอ แต่ยึด “ศูนย์บัญชาการ” ของ Microsoft Stack ทั้งหมด แล้วใช้เครื่องมือ Admin ที่ถูกกฎหมายขององค์กรเองในการลบข้อมูล ภาพรวมของ Component ที่ถูก Compromise ในเคสนี้:

เป้าหมายสูงสุด (Holy Grail) ของ Attacker
ในมุมมองของผู้โจมตี เป้าหมายสูงสุด (Holy Grail) ขึ้นอยู่กับสถาปัตยกรรมขององค์กร:
- On-Premise Environment → Holy Grail คือ Domain Admin บน Active Directory
- ใครได้สิทธิ์นี้เท่ากับครอบครองทั้งโดเมน สามารถออก GPO, Reset Password, Push Software, หรือสร้าง Backdoor Account ได้ทันที
- On-Cloud Environment → Holy Grail คือ Global Admin บน Microsoft Entra ID (Azure AD)
- ครอบคลุมการจัดการ User, Group, Application, License, MFA และที่สำคัญคือควบคุม Intune ซึ่งจัดการ Endpoint ทุกเครื่องในองค์กรได้

จุดที่น่ากลัวที่สุดของเคสนี้คือ “เครื่องมือ Admin ขององค์กรถูกนำมาใช้จัดการ (ลบ) ผู้ใช้งานเสียเอง” — Attacker ไม่ต้อง Drop Malware ใหม่ ไม่ต้อง Bypass EDR ไม่ต้องเขียน Custom Wiper ก็ได้ เพียงแค่ใช้ฟีเจอร์ Native อย่าง Intune Remote Wipe เท่านั้น เพราะในมุมมองของ Security Tool ทุกอย่างที่เกิดขึ้นถูกมองว่าเป็น Legitimate Admin Action ที่ทำโดย Global Admin
ข้อเสนอแนะด้านการป้องกัน (Defensive Recommendations)
จากบทเรียนของเหตุการณ์ Stryker องค์กรควรยกระดับมาตรการรับมือให้ครอบคลุมทั้งระดับ Identity, Endpoint Management และ Data Resilience โดยมีแนวทางสำคัญดังนี้:
- ยกระดับการป้องกัน Privileged Identity เป็นลำดับแรก — บัญชีระดับ Global Admin และ Domain Admin ควรอยู่ภายใต้การควบคุมของ Privileged Identity Management (PIM), บังคับใช้ Multi-Factor Authentication ชนิด Phishing-resistant (FIDO2 / Passkey) และให้สิทธิ์แบบ Just-in-Time Access เท่านั้น เพื่อจำกัดระยะเวลาที่ Attacker สามารถใช้งานสิทธิ์ระดับสูง
- แบ่งชั้น Administration ตามหลัก Tier 0 / Tier 1 / Tier 2 อย่างเคร่งครัด — บัญชี Privileged Account ต้องไม่ถูกนำไปใช้กับงานทั่วไป เช่น การรับส่งอีเมล การท่องเว็บ หรือการล็อกอินบนอุปกรณ์ระดับ End-user เพื่อลดโอกาสที่ Credential ถูกขโมยจาก Phishing หรือ Malware
- เฝ้าระวังพฤติกรรมของผู้ดูแลระบบ (Administrative Activity Monitoring) — จัดทำระบบแจ้งเตือนเชิงรุกสำหรับเหตุการณ์ที่มีความเสี่ยงสูง เช่น Mass Device Wipe, การแก้ไข Conditional Access Policy, การมอบสิทธิ์ระดับสูงให้บัญชีใหม่ หรือการ Sign-in จากตำแหน่งที่ผิดปกติ
- บังคับใช้หลักการ Least Privilege ร่วมกับ Zero Trust Architecture — ออกแบบ Role-Based Access Control (RBAC) ให้แต่ละบทบาทได้รับสิทธิ์เท่าที่จำเป็นต่อการปฏิบัติงาน พร้อมตรวจสอบสิทธิ์ของบัญชีอย่างสม่ำเสมอ (Access Review)
- จัดทำระบบสำรองข้อมูลแบบ Immutable และ Air-gapped Backup — สำรองข้อมูลสำคัญไว้ในรูปแบบที่ไม่สามารถแก้ไขหรือลบได้จากระบบหลัก (Immutable Storage) หรือจัดเก็บแยกไว้แบบ Offline เพื่อรับประกันว่าองค์กรจะสามารถกู้คืนระบบได้แม้ตกอยู่ในสถานการณ์ที่เลวร้ายที่สุด
- ซ้อมแผนรับมือสถานการณ์ (Incident Response Drill) อย่างสม่ำเสมอ — จำลองสถานการณ์ Wiper และ Identity Compromise เพื่อทดสอบ Playbook, ขั้นตอนการกู้คืน Identity, รวมทั้งการสื่อสารระหว่างทีมงาน ผู้บริหาร และผู้มีส่วนได้เสียภายนอก
ผลกระทบจริงที่เกิดขึ้น
Stryker เป็นบริษัทที่มีพนักงาน 56,000 คนใน 61 ประเทศ ผลิตอุปกรณ์ผ่าตัด, รากฟันเทียมกระดูก, และเทคโนโลยีระบบประสาท การโจมตีครั้งนี้กระทบทั้งห่วงโซ่อุปทานการแพทย์:
- สำนักงานใน 79 ประเทศต้องปิดตัวชั่วคราว
- พนักงานไม่สามารถเข้าระบบ Email, Teams, ERP และ Business Applications ได้
- บางสาขาต้องกลับมาใช้ระบบ 'กระดาษและปากกา' (Pen and Paper Workflow)
- โรงพยาบาลที่พึ่งพา Stryker ในการส่งมอบอุปกรณ์การผ่าตัดได้รับผลกระทบโดยตรง
- ณ เวลาที่รายงาน Stryker ยังไม่มี Timeline ชัดเจนในการกู้คืนระบบ
ขนาดของความเสียหาย: ระบบ 200,000+ เครื่องถูก Wipe และ ข้อมูล 50 TB ถูกขโมย
บทสรุป: สงครามยุคใหม่มีสองสมรภูมิ — กายภาพและไซเบอร์
การโจมตี Stryker เป็นหลักฐานสำคัญที่พิสูจน์ว่า สงครามในศตวรรษที่ 21 ไม่ได้จบลงที่สนามรบอีกต่อไป ทุกครั้งที่ขีปนาวุธถูกยิง ทุกครั้งที่ระเบิดถล่มเป้าหมาย ก็มีสมรภูมิที่สองเกิดขึ้นควบคู่กันในโลกไซเบอร์ ทั้งสองสมรภูมินี้ดำเนินไปพร้อมกัน ส่งเสริมกัน และไม่มีวันจบลงแยกจากกันได้
สิ่งที่ต่างไปจากสงครามแบบเดิมคือ ในสมรภูมิไซเบอร์ ไม่มีพรมแดน ไม่มีแนวหน้า และไม่มีพลเรือนที่ปลอดภัย บริษัทที่ไม่รู้เรื่องรู้ราวในประเทศที่สามอาจกลายเป็นเป้าหมายได้เพียงเพราะมีความเชื่อมโยงทางธุรกิจกับฝ่ายใดฝ่ายหนึ่ง และเมื่อเป้าหมายเป็นระบบในโรงพยาบาล ผลกระทบก็ไม่ใช่แค่ตัวเลขทางธุรกิจ แต่คือ ชีวิตของผู้ป่วยที่ต้องพึ่งพาอุปกรณ์เหล่านั้น.
แหล่งอ้างอิง
- https://www.bleepingcomputer.com/news/security/medtech-giant-stryker-offline-after-iran-linked-wiper-malware-attack/
- https://www.aljazeera.com/news/2026/3/11/iran-linked-hackers-hit-medical-giant-stryker-in-retaliatory-cyberattack
- https://www.securityweek.com/medtech-giant-stryker-crippled-by-iran-linked-hacker-attack/
OUR SERVICES
PENETRATION TEST
With our high-ethical, professional certified team and methodology based on NIST SP800-115, we offer a full range of cost-effective services to identify your cyber risks in application, infrastructure, and mobile platforms to meet the requirements of your organisation.
Up Next

ARTICLES
Jul
06
2026
VA/Pentest Service การลงทุนที่คุ้มค่าสำหรับธุรกิจในยุคดิจิทัล
ในทุกวันที่ยุคดิจิทัลเคลื่อนไปข้างหน้าอย่างไม่รีรอและการโจมตีทางไซเบอร์เพิ่มมากขึ้นในทุกวัน อย่าปล่อยให้แฮกเกอร์เป็นผู้พบช่องโหว่บนระบบของคุณก่อนมันจะสายเกินแก้!
READ MORE

ARTICLES
Jul
03
2026
เมื่อ Scammer ไม่ได้หลอกแค่เหยื่อ !!!: เบื้องหลังเทคนิคที่ใช้หลอกคน หลอก Google และหลอกระบบตรวจจับ
ในอดีต การหลอกลวงออนไลน์มักอาศัยอีเมลปลอม SMS ปลอม หรือเว็บไซต์ที่ เลียนแบบองค์กรที่มีชื่อเสียง แต่ในปัจจุบัน…
READ MORE

ARTICLES
Mar
19
2026
Privilege Escalation - Potatoes Part 1
บทความนี้จะอธิบายขั้นตอนการทำงานของเหล่า Potatoes หนึ่งในเครื่องมือที่ใช้งานในการยกระดับสิทธิบน Windows ก็คือเหล่าตระกูล "Potatoes" ซึ่งเป็นกลุ่มเครื่องมือที่ใช้ช่องโหว่ทางเทคนิคร่วมกับ User ที่มีสิทธิ SeImpersonatePrivilege เพื่อเปลี่ยนจากสิทธิ์ User ทั่วไปให้กลายเป็นสิทธิ์ผู้ใช้งานระดับสูงของเครื่องได้ในทันที
READ MORE

