สรุปสั้น

ชายชาวอาร์เมเนียวัย 34 ปี นายคาเรน เซโรโบวิช วาร์ดันยาน (Karen Serobovich Vardanyan) ได้ให้การรับสารภาพต่อศาลสหรัฐฯ ในข้อหาแฮ็กบริษัทในสหรัฐฯ และปล่อยแรนซัมแวร์ Ryuk อันฉาวโฉ่เพื่อเข้ารหัสระบบของเหยื่อ โดยเขาถูกส่งตัวข้ามแดนมายังสหรัฐฯ หลังถูกจับกุมที่กรุงเคียฟเมื่อเดือนเมษายน 2568 จากบทบาทในการจัดหาการเข้าถึงเบื้องต้น (initial access) ให้แก่เครือข่ายองค์กรต่าง ๆ

ตามเอกสารของศาล นายวาร์ดันยานช่วยปล่อยแรนซัมแวร์ Ryuk บนเครือข่ายขององค์กรอเมริกันหลายแห่งในช่วงเดือนพฤศจิกายน 2562 ถึงเมษายน 2563 หลังจากเข้าถึงระบบอย่างผิดกฎหมาย ในการโจมตีครั้งหนึ่ง เขากับผู้สมรู้ร่วมคิดได้เจาะบริษัทแห่งหนึ่งในรัฐมิชิแกนที่จ่ายค่าไถ่เป็นบิตคอยน์ 200 BTC ซึ่งขณะนั้นมีมูลค่ากว่า 1.1 ล้านดอลลาร์ กระทรวงยุติธรรมสหรัฐฯ (DoJ) ระบุว่านายวาร์ดันยานและผู้สมรู้ร่วมคิดเข้าถึงเครือข่ายคอมพิวเตอร์ของบริษัทเหยื่ออย่างผิดกฎหมายและปล่อยแรนซัมแวร์บนเซิร์ฟเวอร์และเวิร์กสเตชันที่ถูกเจาะหลายร้อยเครื่อง โดยได้รับบิตคอยน์เป็นค่าไถ่ราว 1,610 BTC คิดเป็นมูลค่าประมาณ 15 ล้านดอลลาร์ในขณะนั้น

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 10 กรกฎาคม 2569 ว่า นอกจากเหยื่อในรัฐมิชิแกนแล้ว อัยการยังระบุถึงการโจมตีอีกสองครั้ง ได้แก่ บริษัทเทคโนโลยีแห่งหนึ่งในเมืองวิลสันวิลล์ รัฐออริกอน และโรงเรียนแห่งหนึ่งในรัฐเท็กซัส นายวาร์ดันยานถูกฟ้องโดยคณะลูกขุนใหญ่ระดับรัฐบาลกลางในเมืองพอร์ตแลนด์เมื่อเดือนกุมภาพันธ์ 2567 และมีกำหนดฟังคำพิพากษาในเดือนกันยายน 2569

ผู้ปฏิบัติการแรนซัมแวร์รายนี้เผชิญโทษจำคุกสูงสุด 15 ปีจากข้อกล่าวหาสองกระทงแยกกัน พร้อมค่าปรับกระทงละ 250,000 ดอลลาร์ และในฐานะส่วนหนึ่งของข้อตกลงรับสารภาพ นายวาร์ดันยานตกลงจ่ายเงินชดใช้ (restitution) มากกว่า 1.1 ล้านดอลลาร์

ปฏิบัติการแรนซัมแวร์ Ryuk เคลื่อนไหวตั้งแต่ปี 2561 จนถึงกลางปี 2563 โดยก่อเหตุโจมตีที่สร้างความเสียหายสูงต่อองค์กรในแทบทุกภาคส่วน รวมถึงผู้ให้บริการด้านสาธารณสุขในช่วงการระบาดของโควิด-19 คาดกันว่าในช่วงพีค กลุ่ม Ryuk แฮ็กองค์กรราว 20 แห่งต่อสัปดาห์ และทำเงินได้มากกว่า 150 ล้านดอลลาร์

เบื้องหลังกลุ่ม Ryuk และ Conti

หลังจากที่ Ryuk ยุติปฏิบัติการในปี 2563 สมาชิกจำนวนมากได้ย้ายไปยังปฏิบัติการแรนซัมแวร์ Conti ซึ่งเติบโตอย่างรวดเร็วจนกลายเป็นหนึ่งในกลุ่มแฮ็กเกอร์ที่ก่อเหตุมากที่สุด ต่อมา Conti ก็ล่มสลายลงในปี 2565 หลังจากแชทภายในและซอร์สโค้ดถูกเปิดเผยสู่สาธารณะ ทำให้สมาชิกแตกกระจายออกไปตั้งกลุ่มอาชญากรไซเบอร์ใหม่จำนวนมาก ซึ่งบางกลุ่มยังคงเคลื่อนไหวอยู่จนถึงปัจจุบัน

การจับกุมและดำเนินคดีนายวาร์ดันยานสะท้อนให้เห็นว่า แม้ปฏิบัติการแรนซัมแวร์จะยุติไปนานแล้ว แต่หน่วยงานบังคับใช้กฎหมายยังคงติดตามและดำเนินคดีกับสมาชิกในเครือข่ายอย่างต่อเนื่อง ทั้งผ่านความร่วมมือระหว่างประเทศและการส่งตัวผู้ร้ายข้ามแดน

ผลกระทบต่อไทย

แม้คดีนี้จะเกี่ยวข้องกับเหยื่อในสหรัฐฯ เป็นหลัก แต่แรนซัมแวร์ Ryuk และเครือข่ายที่แตกแขนงจาก Conti เคยเป็นภัยคุกคามระดับโลกที่โจมตีองค์กรในแทบทุกภูมิภาครวมถึงเอเชีย การที่สมาชิกแตกกระจายไปตั้งกลุ่มใหม่จำนวนมากหมายความว่าเทคนิคและโครงสร้างการโจมตีของ Ryuk/Conti ยังคงถูกนำไปใช้ต่อในกลุ่มแรนซัมแวร์ปัจจุบัน องค์กรไทยจึงยังต้องเฝ้าระวังรูปแบบการโจมตีที่อาศัยการเข้าถึงเบื้องต้นผ่านผู้จัดหา access แล้วปล่อยแรนซัมแวร์เข้ารหัสทั้งเครือข่าย ขณะเดียวกันคดีนี้ก็เป็นสัญญาณเชิงบวกว่าความร่วมมือระหว่างประเทศในการไล่ล่าอาชญากรไซเบอร์กำลังได้ผลมากขึ้น

คำแนะนำ

องค์กรควรลดความเสี่ยงจากการถูกแรนซัมแวร์รูปแบบ Ryuk/Conti ด้วยการจำกัดและเฝ้าระวังจุดเข้าถึงเบื้องต้น เช่น บริการ RDP ที่เปิดสู่อินเทอร์เน็ต ช่องโหว่ VPN และอีเมลฟิชชิง ซึ่งมักเป็นช่องทางที่ผู้จัดหา access ใช้เจาะเข้าระบบ ควรบังคับใช้การยืนยันตัวตนหลายปัจจัย (MFA) กับทุกบัญชีที่เข้าถึงจากภายนอก แบ่งเครือข่ายเป็นส่วน (network segmentation) เพื่อจำกัดการแพร่กระจาย และสำรองข้อมูลแบบออฟไลน์อย่างสม่ำเสมอพร้อมทดสอบการกู้คืน นอกจากนี้ควรมีแผนตอบสนองเหตุการณ์และเฝ้าระวังพฤติกรรมผิดปกติในเครือข่ายเพื่อตรวจจับการบุกรุกก่อนที่ผู้โจมตีจะปล่อยแรนซัมแวร์

แหล่งอ้างอิง