สรุปสั้น

นายโอเลกซี โอเลกซียอวิช ลิตวิเนนโก ชาวยูเครนวัย 44 ปี รับสารภาพต่อศาลสหรัฐฯ ในข้อหาสมรู้ร่วมคิดฉ้อโกงทางสายโทรศัพท์ (conspiracy to commit wire fraud) จากบทบาทในขบวนการแรนซัมแวร์ Conti โดยเขาถูกจับกุมที่ไอร์แลนด์ในเดือนกรกฎาคม 2566 ก่อนถูกส่งตัวมาดำเนินคดีในสหรัฐฯ

นายลิตวิเนนโกสารภาพว่าเข้าร่วมขบวนการ Conti ตั้งแต่ราวเดือนกันยายน 2564 โดยทำหน้าที่พัฒนา “loader” ซึ่งเป็นมัลแวร์ที่ใช้โหลดซอฟต์แวร์ที่จำเป็นสำหรับการโจมตี ภายใต้การกำกับของสมาชิกอีกคนในขบวนการ พร้อมยอมรับว่าครอบครองข้อมูลที่ถูกขโมยจากเหยื่อ 8 รายในสหรัฐฯ และ 4 รายในต่างประเทศ

ขบวนการแรนซัมแวร์ Conti เคยโจมตีเหยื่อกว่า 1,000 รายทั่วโลกและเรียกค่าไถ่รวมมากกว่า 150 ล้านดอลลาร์สหรัฐ ก่อนที่จะยุติปฏิบัติการลงในปี 2565 หลังแชทภายในหลุดสู่สาธารณะ Conti มีรากเหง้ามาจากกลุ่มอาชญากรไซเบอร์ Ryuk และเชื่อมโยงกับเครือข่ายมัลแวร์ TrickBot สมาชิกเก่าของ Conti ได้แตกกระจายออกไปก่อตั้งกลุ่มแรนซัมแวร์ใหม่หลายกลุ่ม รวมถึง BlackCat, Black Basta, Hive และ Karakurt

นายลิตวิเนนโกเผชิญโทษจำคุกสูงสุด 20 ปี และในเดือนกันยายน 2566 สหรัฐฯ และสหราชอาณาจักรยังได้ลงโทษคว่ำบาตรและฟ้องร้องชาวรัสเซีย 9 คนที่เชื่อมโยงกับเครือข่าย TrickBot/Conti อีกด้วย

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่า นายโอเลกซี โอเลกซียอวิช ลิตวิเนนโก (Oleksii Oleksiyovych Lytvynenko) ชาวยูเครนวัย 44 ปี ได้ให้การรับสารภาพต่อศาลกลางสหรัฐฯ ในข้อหาสมรู้ร่วมคิดฉ้อโกงทางสายโทรศัพท์ จากบทบาทของเขาในขบวนการแรนซัมแวร์ Conti ที่เคยสร้างความเสียหายมหาศาลไปทั่วโลก นายลิตวิเนนโกถูกจับกุมที่ไอร์แลนด์ในเดือนกรกฎาคม 2566 และถูกส่งตัวข้ามแดนมายังสหรัฐฯ เพื่อเข้าสู่กระบวนการทางกฎหมาย

ตามเอกสารของศาล นายลิตวิเนนโกสารภาพว่าเข้าร่วมขบวนการ Conti ตั้งแต่ราวเดือนกันยายน 2564 โดยทำงานพัฒนาโค้ดสำหรับ “loader” ซึ่งเป็นมัลแวร์ที่ออกแบบมาเพื่อโหลดซอฟต์แวร์อื่น ๆ ที่จำเป็นสำหรับการดำเนินการโจมตีด้วยแรนซัมแวร์ เขาทำงานภายใต้การกำกับดูแลของสมาชิกอีกคนหนึ่งในขบวนการ และยอมรับว่าครอบครองข้อมูลที่ถูกขโมยจากเหยื่อทั้งหมด 12 ราย แบ่งเป็นเหยื่อในสหรัฐฯ 8 ราย และเหยื่อในต่างประเทศ 4 ราย นายลิตวิเนนโกเผชิญโทษจำคุกสูงสุด 20 ปี

ขบวนการแรนซัมแวร์ Conti เป็นหนึ่งในกลุ่มอาชญากรไซเบอร์ที่ร้ายแรงที่สุดในประวัติศาสตร์ โดยโจมตีเหยื่อกว่า 1,000 รายทั่วโลก และเรียกค่าไถ่รวมมากกว่า 150 ล้านดอลลาร์สหรัฐ Conti มีรากเหง้ามาจากกลุ่มอาชญากรไซเบอร์ Ryuk และมีความเชื่อมโยงอย่างใกล้ชิดกับเครือข่ายมัลแวร์ TrickBot ขบวนการ Conti ยุติปฏิบัติการลงในปี 2565 หลังจากแชทภายในของกลุ่มถูกเปิดเผยสู่สาธารณะ ส่งผลให้โครงสร้างองค์กรล่มสลาย สมาชิกเดิมได้แตกกระจายออกไปก่อตั้งกลุ่มแรนซัมแวร์ใหม่หลายกลุ่ม ได้แก่ BlackCat (ALPHV), Black Basta, ZEON, Hive, Quantum, BlackByte, Karakurt และ Silent Ransom Group ซึ่งหลายกลุ่มยังคงเคลื่อนไหวอยู่จนถึงปัจจุบัน

นอกจากนี้ ในเดือนกันยายน 2566 สหรัฐฯ และสหราชอาณาจักรได้ร่วมกันลงโทษคว่ำบาตรและฟ้องร้องชาวรัสเซีย 9 คนที่เชื่อมโยงกับเครือข่าย TrickBot/Conti ซึ่งแสดงให้เห็นถึงความพยายามร่วมกันของฝ่ายบังคับใช้กฎหมายในระดับนานาชาติเพื่อปราบปรามเครือข่ายอาชญากรรมไซเบอร์เหล่านี้

วิธีการโจมตี

รูปแบบการดำเนินงานของ Conti:

ขบวนการ Conti ดำเนินงานในรูปแบบ Ransomware-as-a-Service (RaaS) โดยมีโครงสร้างองค์กรที่ชัดเจนและแบ่งหน้าที่ให้สมาชิกแต่ละคน นายลิตวิเนนโกทำหน้าที่ในส่วนของการพัฒนา loader ซึ่งเป็นมัลแวร์ตัวแรกที่ถูกติดตั้งในระบบของเหยื่อ เพื่อทำหน้าที่ดาวน์โหลดและติดตั้งซอฟต์แวร์อื่น ๆ ที่จำเป็นสำหรับการโจมตี

ห่วงโซ่การโจมตีทั่วไปของ Conti:

  1. Initial Access — เข้าถึงระบบเหยื่อผ่านมัลแวร์ TrickBot, อีเมลฟิชชิง หรือช่องโหว่ที่ไม่ได้แพตช์
  2. Loader Deployment — ใช้ loader (ประเภทที่นายลิตวิเนนโกพัฒนา) เพื่อโหลดเครื่องมือโจมตีเพิ่มเติม
  3. Lateral Movement — เคลื่อนที่ภายในเครือข่ายเพื่อยึดครองระบบอื่น ๆ
  4. Data Exfiltration — ขโมยข้อมูลสำคัญออกจากระบบก่อนเข้ารหัส
  5. Ransomware Deployment — เข้ารหัสข้อมูลทั้งหมดและเรียกค่าไถ่ (double extortion)

กลุ่มที่แตกแขนงจาก Conti:

  • BlackCat (ALPHV) — ใช้ภาษา Rust เป็นตัวเข้ารหัส เคลื่อนไหวจนถูกปราบปรามในปี 2567
  • Black Basta — กลุ่มที่ยังคง active อย่างมากในปัจจุบัน
  • Hive — ถูก FBI ยึดโครงสร้างพื้นฐานในเดือนมกราคม 2566
  • Karakurt — เน้นขโมยข้อมูลและขู่เปิดเผยโดยไม่เข้ารหัส
  • Silent Ransom Group — ใช้วิธี callback phishing เป็นหลัก

ผลกระทบต่อไทย

แม้คดีนี้เป็นการดำเนินคดีกับสมาชิกขบวนการในสหรัฐฯ แต่ Conti เคยโจมตีเหยื่อกว่า 1,000 รายทั่วโลก รวมถึงองค์กรในภูมิภาคเอเชียตะวันออกเฉียงใต้ กลุ่มที่แตกแขนงจาก Conti หลายกลุ่มยังคงเคลื่อนไหวอยู่ โดยเฉพาะ Black Basta ที่มีรายงานการโจมตีองค์กรในภูมิภาคอาเซียนอย่างต่อเนื่อง

องค์กรในไทยที่ใช้โครงสร้างพื้นฐานที่ไม่ได้อัปเดตแพตช์ หรือยังคงพึ่งพา VPN และ RDP ที่เปิดให้เข้าถึงจากภายนอกโดยไม่มี MFA ยังคงมีความเสี่ยงสูงจากกลุ่มแรนซัมแวร์เหล่านี้ เทคนิค loader ที่ใช้ในห่วงโซ่การโจมตีของ Conti เป็นรูปแบบที่พบได้บ่อยในการโจมตีองค์กรไทย

คำแนะนำ

  1. อัปเดตแพตช์อย่างสม่ำเสมอ — ปิดช่องโหว่ที่กลุ่มแรนซัมแวร์มักใช้เป็นจุดเข้าถึง โดยเฉพาะ VPN, firewall และระบบ remote access
  2. บังคับใช้ MFA — เปิดใช้ multi-factor authentication สำหรับทุกระบบที่เข้าถึงจากภายนอก รวมถึง VPN, RDP และ email
  3. สำรองข้อมูลแบบ 3-2-1 — เก็บสำเนาสำรองอย่างน้อย 3 ชุด ใน 2 สื่อบันทึกที่แตกต่างกัน โดย 1 ชุดเป็น offline หรือ air-gapped
  4. ตรวจจับ lateral movement — ใช้ EDR ที่สามารถตรวจจับพฤติกรรมการเคลื่อนที่ภายในเครือข่ายที่ผิดปกติ
  5. ฝึกซ้อมแผนรับมือแรนซัมแวร์ — จัดทำและทดสอบ incident response plan สำหรับสถานการณ์แรนซัมแวร์เป็นประจำ

แหล่งอ้างอิง