สรุปสั้น

Europol ร่วมกับ FBI กระทรวงยุติธรรมสหรัฐฯ และหน่วยงานบังคับใช้กฎหมายจากหลายประเทศ ดำเนินการทลายเครือข่ายฟอกเงินคริปโทเคอร์เรนซีขนาดใหญ่ที่รู้จักในชื่อ AudiA6 ซึ่งดำเนินการมาตั้งแต่ปี 2564 โดยฟอกเงินรวมมูลค่ากว่า 336 ล้านยูโร ปฏิบัติการนี้ส่งผลให้จับกุมผู้ต้องหา 2 รายที่มีสัญชาติยูเครนและรัสเซียในประเทศจอร์เจีย ยึดโดเมน 25 รายการ เซิร์ฟเวอร์กว่า 30 เครื่อง และยานพาหนะกว่า 80 คัน

เครือข่าย AudiA6 ให้บริการฟอกเงินแก่อาชญากรไซเบอร์โดยใช้บัญชี mule กว่า 6,000 บัญชีที่ผ่านการยืนยันตัวตน KYC เพื่อแปลงคริปโทเคอร์เรนซีที่ได้จากการก่ออาชญากรรมเป็นเงินสด กระทรวงยุติธรรมสหรัฐฯ ตั้งข้อหานาย Vitalii Tkachuk วัย 37 ปี และนาย Daniil Ledenev วัย 25 ปี ในข้อหาสมคบฟอกเงินและดำเนินธุรกิจส่งเงินโดยไม่ได้รับอนุญาต นอกจากนี้ยังพบว่าเครือข่ายดังกล่าวยังดำเนินฟอรัม dark web ชื่อ Dark2Web และมีความเชื่อมโยงกับเงินที่ถูกขโมยจากเหตุการณ์แฮ็กบริษัท LastPass ในปี 2565

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่า Europol ประกาศผลสำเร็จของปฏิบัติการทลายเครือข่ายฟอกเงินคริปโทเคอร์เรนซี AudiA6 ซึ่งเป็นหนึ่งในเครือข่ายฟอกเงินดิจิทัลที่ใหญ่ที่สุดที่เคยถูกทลาย

เครือข่าย AudiA6 เริ่มดำเนินการตั้งแต่ปี 2564 โดยให้บริการฟอกเงินแก่อาชญากรไซเบอร์ในรูปแบบ “crypto-to-cash” ผู้ใช้บริการส่งคริปโทเคอร์เรนซีที่ได้จากการก่ออาชญากรรม เช่น ransomware, phishing และการขโมยข้อมูล มาให้เครือข่ายแปลงเป็นเงินสดผ่านบัญชี mule กว่า 6,000 บัญชีที่ผ่านการยืนยันตัวตน KYC ทำให้ตรวจจับได้ยาก

ปฏิบัติการบังคับใช้กฎหมายดำเนินการจับกุมผู้ต้องหาทั้ง 2 รายในประเทศจอร์เจีย ยึดโดเมน 25 รายการ เซิร์ฟเวอร์กว่า 30 เครื่อง ยานพาหนะกว่า 80 คัน (รวมถึงรถหรูยี่ห้อ Audi A6 ซึ่งเป็นที่มาของชื่อเครือข่าย) และโดเมนอีเมล 19 รายการที่ใช้ในการดำเนินงาน

กระทรวงยุติธรรมสหรัฐฯ ยื่นฟ้องนาย Tkachuk และนาย Ledenev ในข้อหาสมคบฟอกเงินและดำเนินธุรกิจส่งเงินโดยไม่มีใบอนุญาต การสืบสวนยังเผยว่าเครือข่ายนี้ดำเนินฟอรัม dark web ชื่อ Dark2Web ที่ใช้เป็นตลาดซื้อขายข้อมูลที่ถูกขโมยและเครื่องมือแฮ็ก สิ่งที่น่าสังเกตคือเงินบางส่วนที่ถูกฟอกผ่าน AudiA6 สามารถสืบย้อนไปถึงเงินคริปโทเคอร์เรนซีที่ถูกขโมยจากเหตุการณ์เจาะระบบบริษัท LastPass ในปี 2565 ซึ่งผู้โจมตีใช้ข้อมูล vault ที่ถูกขโมยเพื่อเข้าถึงคริปโทวอลเล็ตของเหยื่อ

วิธีการโจมตี

เครือข่าย AudiA6 ดำเนินการในรูปแบบบริการฟอกเงินแบบครบวงจร โดยรับคริปโทเคอร์เรนซีจากอาชญากรไซเบอร์แล้วแปลงเป็นเงินสดผ่านระบบหลายชั้น กระบวนการเริ่มจากการรับเงินดิจิทัลเข้าวอลเล็ตของเครือข่าย จากนั้นกระจายผ่าน mixer หรือ chain-hopping เพื่อปิดบังต้นทาง แล้วถอนเป็นเงินสดผ่านบัญชี mule ที่ผ่าน KYC เครือข่ายใช้โดเมนอีเมล 19 รายการสำหรับสื่อสารกับลูกค้าและจัดการบัญชี mule รวมถึงใช้ Telegram เป็นช่องทางติดต่อ ความสามารถในการฟอกเงินมูลค่ามหาศาลตลอด 4 ปีโดยไม่ถูกจับแสดงให้เห็นถึงความซับซ้อนของโครงสร้างพื้นฐานที่ใช้หลบเลี่ยงการตรวจจับ

ผลกระทบต่อไทย

แม้ปฏิบัติการจับกุมเกิดขึ้นในยุโรป แต่บริการฟอกเงินคริปโทเคอร์เรนซีแบบ AudiA6 กระทบระบบนิเวศไซเบอร์ทั่วโลกรวมถึงไทย เนื่องจากเป็นโครงสร้างพื้นฐานที่ช่วยให้อาชญากรไซเบอร์สามารถแปลงเงินจากการโจมตี ransomware หรือการขโมยข้อมูลเป็นเงินสดได้ หากไม่มีช่องทางฟอกเงิน อาชญากรรมไซเบอร์จะลดแรงจูงใจลงอย่างมาก การทลายเครือข่ายนี้จึงส่งผลดีต่อการลดภัยคุกคามทางไซเบอร์ในระดับโลก นอกจากนี้สถาบันการเงินและตลาดคริปโทเคอร์เรนซีในไทยควรเฝ้าระวังรูปแบบการใช้บัญชี mule ที่ผ่าน KYC เพื่อฟอกเงิน

คำแนะนำ

สถาบันการเงินและผู้ให้บริการแลกเปลี่ยนคริปโทเคอร์เรนซีในไทยควรเพิ่มความเข้มงวดในการตรวจสอบธุรกรรมที่มีรูปแบบผิดปกติ โดยเฉพาะบัญชีที่มีการถอนเงินสดบ่อยครั้งในจำนวนที่ต่ำกว่าเกณฑ์รายงาน ควรนำ blockchain analytics มาใช้ตรวจจับการเคลื่อนย้ายเงินจากแหล่งที่ต้องสงสัย และแจ้ง ปปง. ทันทีหากพบธุรกรรมที่เข้าข่ายฟอกเงิน ผู้ใช้คริปโทเคอร์เรนซีทั่วไปควรใช้ hardware wallet และเปิดใช้ 2FA ทุกบัญชีเพื่อป้องกันการถูกขโมยเงิน

แหล่งอ้างอิง