สรุปสั้น
กระทรวงยุติธรรมสหรัฐฯ ประกาศเมื่อวันที่ 1 กรกฎาคม 2026 ว่าได้ส่งตัววัยรุ่นที่ถูกกล่าวหาว่าเป็นสมาชิกกลุ่มแฮ็กเกอร์ Scattered Spider ข้ามแดนจากฟินแลนด์มายังสหรัฐฯ เพื่อขึ้นศาลในข้อหาสมคบคิด บุกรุกคอมพิวเตอร์ และฉ้อโกง โดยผู้ต้องสงสัยคือนาย Peter Stokes อายุ 19 ปี ผู้ถือสองสัญชาติสหรัฐฯ และเอสโตเนีย ซึ่งได้ปรากฏตัวต่อศาลรัฐบาลกลางในนครชิคาโกเมื่อวันที่ 30 มิถุนายน และผู้พิพากษาสั่งให้ควบคุมตัวไว้ ตำรวจฟินแลนด์จับกุมเขาเมื่อเดือนเมษายนตามหมายแดงของ Interpol ก่อนจะส่งตัวข้ามแดนในช่วงปลายเดือนมิถุนายน
คดีนี้เป็นรายล่าสุดในชุดการจับกุมที่มุ่งเป้าเครือข่ายซึ่งเชื่อมโยงกับการเจาะระบบคาสิโน ห้างค้าปลีก และสายการบิน เอกสารศาลระบุตัวนาย Stokes ด้วยชื่อออนไลน์ว่า “Bouquet” และบรรยายถึงการบุกรุกอย่างน้อย 4 ครั้ง โดยครั้งแรกเกิดขึ้นตอนเขาอายุเพียง 16 ปี ในกรณีหนึ่งเมื่อเดือนพฤษภาคม 2025 อัยการระบุว่าเขากับพวกเจาะเข้าระบบของร้านค้าปลีกเครื่องประดับหรู คัดลอกข้อมูลออกไป และเรียกค่าไถ่เป็นเงินคริปโตราว 8 ล้านดอลลาร์ แต่ร้านปฏิเสธที่จะจ่าย ขับไล่ผู้บุกรุกออก และเสียค่าใช้จ่ายในการกู้ระบบอย่างน้อย 2 ล้านดอลลาร์
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 2 กรกฎาคม 2026 ว่า กระทรวงยุติธรรมสหรัฐฯ ได้ส่งตัวนาย Peter Stokes ผู้ต้องสงสัยสมาชิกกลุ่ม Scattered Spider ข้ามแดนจากฟินแลนด์เพื่อขึ้นศาลในสหรัฐฯ ตามเอกสารศาล เจ้าหน้าที่ฟินแลนด์ยึดฮาร์ดดิสก์ขนาด 2 เทราไบต์ได้ 2 ลูก ตอนที่สกัดจับนาย Stokes ที่สนามบินเฮลซิงกิ ขณะที่เขาพยายามขึ้นเครื่องบินไปยังญี่ปุ่น
นาย A. Tysen Duva ผู้ช่วยอัยการสูงสุด กล่าวว่ากลุ่มนี้มีส่วนเกี่ยวข้องกับ “การบุกรุกเครือข่ายกว่า 100 ครั้ง ส่งผลให้มีการจ่ายค่าไถ่รวมกว่า 100 ล้านดอลลาร์” คดีของนาย Stokes จึงสะท้อนความเปลี่ยนแปลงครั้งใหญ่ในเรื่องราวของ Scattered Spider ที่ตำรวจกำลังใส่ชื่อจริง ประเทศ และวันขึ้นศาลให้กับเครือข่ายที่เคยดำรงอยู่เพียงในรูปของชื่อแฝงตามห้องแชต
การจับกุมนาย Stokes เป็นส่วนหนึ่งของการกวาดล้างที่กว้างขึ้น กรณีล่าสุด ๆ ได้แก่ นาย Tyler Buchanan วัย 24 ปีจากสกอตแลนด์ ซึ่งเคยถูกระบุว่าเป็นหัวโจก ได้รับสารภาพต่อศาลสหรัฐฯ เมื่อเดือนเมษายน 2026 ในข้อหาฉ้อโกงและขโมยอัตลักษณ์ โดยยอมรับว่าขโมยเงินคริปโตอย่างน้อย 8 ล้านดอลลาร์ผ่านแคมเปญฟิชชิงที่โจมตีบริษัทต่าง ๆ รวมถึง Twilio และ LastPass และเผชิญโทษจำคุกสูงสุดตามกฎหมาย 22 ปี ขณะที่นาย Noah Urban สมาชิกจากรัฐฟลอริดา ถูกตัดสินจำคุก 10 ปีเมื่อเดือนสิงหาคม 2025 และสั่งให้ชดใช้ราว 13 ล้านดอลลาร์ ส่วนนาย Thalha Jubair และนาย Owen Flowers สองชายหนุ่มในสหราชอาณาจักร รับสารภาพเมื่อเดือนมิถุนายน 2026 ในคดีโจมตีหน่วยงานขนส่งกรุงลอนดอน (Transport for London) เมื่อปี 2024
วิธีการโจมตีของ Scattered Spider
Scattered Spider ไม่ใช่แก๊งอาชญากรแบบดั้งเดิม แต่เป็นกลุ่มหลวม ๆ ของคนหนุ่มสาวที่พูดภาษาอังกฤษเป็นหลัก หลายคนเป็นวัยรุ่น กระจายตัวอยู่ทั่วสหรัฐฯ สหราชอาณาจักร และยุโรป บริษัทด้านความปลอดภัยยังติดตามกลุ่มนี้ในชื่ออื่น ๆ เช่น Octo Tempest, UNC3944 และ 0ktapus จุดเด่นของกลุ่มคือกลวิธีที่เรียบง่ายแต่รับมือยาก นั่นคือแทนที่จะเจาะซอฟต์แวร์ พวกเขาเลือกหลอกคน
สมาชิกจะโทรศัพท์ไปที่ IT help desk ของบริษัท แล้วแกล้งเป็นพนักงานที่ถูกล็อกบัญชีออกจากระบบ และพูดโน้มน้าวให้เจ้าหน้าที่รีเซ็ตรหัสผ่านหรืออนุมัติการล็อกอินให้ เมื่อเข้าไปได้แล้วก็จะขโมยไฟล์และข่มขู่ว่าจะปล่อยข้อมูลหากไม่ได้รับเงิน กลุ่มนี้เป็นที่รู้จักมากที่สุดจากการโจมตี MGM Resorts และ Caesars Entertainment ในปี 2023 ซึ่งทำให้ระบบคาสิโนและโรงแรมของ MGM หยุดทำงาน ต่อมาในปี 2025 ยังถูกเชื่อมโยงกับการโจมตีห้างค้าปลีกในสหราชอาณาจักรอย่าง Marks & Spencer, Harrods และ Co-op แล้วขยับไปที่บริษัทประกันในสหรัฐฯ และสายการบินในภายหลัง ซึ่งเป็นรูปแบบที่นักวิจัยอธิบายว่าเป็นการเคลื่อนที่ไปทีละภาคอุตสาหกรรม
คำแนะนำร่วมของสหรัฐฯ และนานาชาติยังเตือนว่า เมื่อเข้าไปในระบบได้แล้ว ผู้บุกรุกมักแฝงตัวอยู่ในเครื่องมือแชตของบริษัทและเข้าร่วมการประชุมรับมือเหตุการณ์ (incident response) เพื่อคอยดูว่าใครกำลังตามล่าพวกเขาอยู่
อัปเดต: เอกสารศาลเปิดผนึกเผย Windows Device ID ที่นำ FBI สืบถึงตัว
เว็บไซต์ The Hacker News รายงานเพิ่มเติมเมื่อวันที่ 7 กรกฎาคม 2026 โดยอ้างเอกสารฟ้องของรัฐบาลกลางที่เพิ่งถูกเปิดผนึกว่า อัยการสหรัฐฯ เชื่อมโยงนาย Peter Stokes เข้ากับการบุกรุกร้านค้าปลีกเครื่องประดับหรูได้ด้วยการใช้ Windows device ID ที่คงอยู่ถาวร โดยข้อมูลของบริษัท Microsoft ผูก ID ดังกล่าวเข้ากับบัญชีที่ผู้โจมตีใช้รักษาการเข้าถึงระหว่างการบุกรุกเมื่อเดือนพฤษภาคม 2025 ก่อนจะโยงต่อไปยังบัญชีออนไลน์ที่อัยการระบุว่าเป็นของนาย Stokes เอกสารเผยว่าระหว่างวันที่ 12–15 พฤษภาคม 2025 ผู้โจมตีโทรศัพท์ไปยัง IT help desk ของร้านผ่านหมายเลข Google Voice แกล้งเป็นพนักงานที่ถูกล็อกบัญชี และหลอกให้เจ้าหน้าที่รีเซ็ตรหัสผ่านและอุปกรณ์มือถือที่ผูกกับ multifactor authentication ภายในไม่กี่ชั่วโมงพวกเขาควบคุมได้ 3 บัญชี ในจำนวนนี้ 2 บัญชีเป็นของผู้ดูแลระบบไอที จากนั้นติดตั้ง ngrok และเครื่องมือทันเนลตัวที่สองชื่อ Teleport ย้ายข้อมูลไปเก็บบนคลาวด์ของ Amazon และดึงออกไปอย่างน้อย 77 กิกะไบต์ ก่อนพยายามปล่อยแรนซัมแวร์แต่ถูกทีมความปลอดภัยของร้านสกัดและขับออกจากเครือข่าย
จุดที่นำไปสู่การระบุตัวคือ นักสืบไล่ย้อนกลับจากอุปกรณ์ที่เปิดบัญชี ngrok โดย Microsoft แจ้ง FBI ว่าอุปกรณ์นั้นมี Global Device Identifier รหัส g:6755467234350028 ซึ่ง Microsoft อธิบายว่าเป็นตัวระบุถาวรที่ผูกกับการติดตั้ง Windows หนึ่งชุด และคงอยู่แม้จะอัปเดตระบบปฏิบัติการ แต่จะเปลี่ยนไปเมื่อมีการติดตั้ง Windows ใหม่ ข้อมูลของ Microsoft แสดงว่าอุปกรณ์เครื่องนี้เข้าเยี่ยมหน้าสมัคร ngrok เมื่อเวลา 19:21 UTC ของวันที่ 12 พฤษภาคม 2025 ซึ่งเป็นนาทีเดียวกับที่บัญชี ngrok ถูกสร้างขึ้น และยังปรากฏบนที่อยู่ IP เดียวกันในช่วงเวลาเดียวกันกับกิจกรรมของผู้โจมตีซ้ำ ๆ กรณีนี้สะท้อนว่าจุดอ่อนที่แท้จริงคือกระบวนการของ help desk ไม่ใช่ช่องโหว่ซอฟต์แวร์ และการแก้ต้องอาศัยการยืนยันตัวตนก่อนรีเซ็ตทุกครั้ง เช่น โทรกลับไปยังหมายเลขที่มีอยู่ในระบบ การอนุมัติของหัวหน้างาน หรือการยืนยันผ่านวิดีโอสำหรับบัญชีที่มีสิทธิ์สูง
ผลกระทบต่อไทย
แม้คดีนี้จะเกิดในสหรัฐฯ และยุโรป แต่กลวิธีของ Scattered Spider เป็นบทเรียนสำคัญสำหรับองค์กรในไทย เพราะจุดอ่อนที่กลุ่มนี้โจมตีไม่ใช่ไฟร์วอลล์หรือช่องโหว่ซอฟต์แวร์ แต่เป็น “คน” ที่ประจำอยู่ IT help desk การโจมตีด้วยวิศวกรรมสังคม (social engineering) ทางโทรศัพท์เพื่อหลอกให้รีเซ็ตรหัสผ่านหรืออนุมัติ MFA เป็นเทคนิคที่ใช้ได้กับทุกองค์กรไม่ว่าจะอยู่ประเทศใด บริษัท Mandiant รายงานว่าแม้การจับกุมในปี 2025 จะทำให้การโจมตีของกลุ่มนี้ซาลง แต่ก็เตือนว่ามีกลุ่มอื่นเริ่มลอกเลียนวิธีการไปแล้ว องค์กรไทยที่มีระบบ help desk รับเรื่องรีเซ็ตรหัสผ่านหรือ MFA จึงควรทบทวนขั้นตอนยืนยันตัวตนก่อนดำเนินการให้ผู้ใช้
คำแนะนำ
เสริมความเข้มงวดในการยืนยันตัวตนก่อนรีเซ็ตรหัสผ่านหรืออนุมัติการล็อกอินที่ IT help desk เช่น ใช้คำถามยืนยันหลายชั้นหรือการยืนยันผ่านหัวหน้างาน ปรับใช้กุญแจล็อกอินแบบ phishing-resistant (เช่น FIDO2/passkey) ที่ไม่สามารถถูกขโมยผ่านฟิชชิงได้ ฝึกอบรมพนักงาน help desk ให้รู้เท่าทันกลวิธี social engineering ทางโทรศัพท์ และเฝ้าระวังบัญชีหรือผู้ใช้แปลกหน้าที่เข้ามาในเครื่องมือแชตและการประชุมรับมือเหตุการณ์ นอกจากนี้ควรมีแผน incident response ที่ใช้ช่องทางสื่อสารสำรองแยกออกจากระบบหลัก เผื่อกรณีที่ผู้บุกรุกแฝงตัวอยู่ในระบบสื่อสารภายในองค์กร
