สรุปสั้น
สำนักงานควบคุมทรัพย์สินต่างชาติ (Office of Foreign Assets Control หรือ OFAC) ในสังกัดกระทรวงการคลังสหรัฐฯ ประกาศคว่ำบาตรบุคคล 2 รายและผู้ให้บริการเครือข่ายส่วนตัวเสมือน (VPN) หนึ่งราย ฐานช่วยเหลือให้กลุ่มแรนซัมแวร์และอาชญากรไซเบอร์รายอื่นก่อเหตุโจมตี รวมถึงโจมตีเรียกค่าไถ่ชาวอเมริกัน โดยผู้ให้บริการ VPN ที่ถูกคว่ำบาตรคือ First VPN Service หรือ 1VPNS ซึ่งถูกกล่าวหาว่าเปิดให้กลุ่มแรนซัมแวร์เช่าใช้เครื่องมือเพื่ออำพรางต้นทางการโจมตี พร้อมกับนาย Dmytro Rashevskyi ผู้ดูแลระบบชาวยูเครนวัย 45 ปี และยังคว่ำบาตรนาย Yegeniy Vladimirovich Silayev ชาวเบลารุส ฐานขายโปรแกรมอำพรางมัลแวร์ (Cryptor) ที่ช่วยปลอมแรนซัมแวร์และมัลแวร์อื่นให้ดูเหมือนโปรแกรมปลอดภัยเพื่อหลบการตรวจจับของเครื่องมือความปลอดภัย
จุดสำคัญคือนี่เป็นครั้งแรกที่สหรัฐฯ คว่ำบาตรทั้งบริการ VPN และคนขาย Cryptor ที่รองรับปฏิบัติการแรนซัมแวร์ 1VPNS เปิดให้บริการมาตั้งแต่ปี 2557 (2014) โฆษณาว่าไม่เก็บล็อกตัวตนหรือกิจกรรมของผู้ใช้ และไม่ให้ความร่วมมือกับเจ้าหน้าที่รัฐในการจัดการกิจกรรมผิดกฎหมายที่มาจากเซิร์ฟเวอร์ที่ปล่อยเช่า จนกระทั่งถูกทลายในเดือนพฤษภาคม 2569 จากปฏิบัติการร่วมของเจ้าหน้าที่ยุโรปและอเมริกาเหนือ ทางการระบุว่ากลุ่มแรนซัมแวร์หลายกลุ่มซื้อบริการ 1VPNS ไปใช้โจมตีบริษัทและสถาบันในสหรัฐฯ ปกปิดต้นตอที่แท้จริง วางมัลแวร์ และจัดการข้อมูลที่ขโมยออกมา สร้างความเสียหายรวมกันหลายพันล้านดอลลาร์ต่อภาคธุรกิจและโครงสร้างพื้นฐานสำคัญของอเมริกา
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 14 กรกฎาคม 2569 ว่า OFAC ได้ขึ้นบัญชีคว่ำบาตร 1VPNS พร้อมผู้ดูแลและคนขาย Cryptor โดยชี้ว่าเหยื่อของการโจมตีแรนซัมแวร์ที่อาศัยโครงสร้างพื้นฐานของ VPN รายนี้ครอบคลุมทั้งภาคธุรกิจสหรัฐฯ บริษัทบริการทางการเงิน โรงพยาบาล และหน่วยงานปกครองท้องถิ่น กระทรวงการคลังระบุว่านาย Rashevskyi ใช้ตัวตนปลอมหลายชื่อ เช่น “Maksim Sorin” และ “Roman Chabanenko” เพื่อจัดซื้อโครงสร้างพื้นฐานจากบริษัทที่อาจปฏิเสธไม่ทำธุรกิจด้วย เพราะมีเรื่องร้องเรียนจากผู้ให้บริการอินเทอร์เน็ตเกี่ยวกับกิจกรรมผิดกฎหมายที่มาจากเซิร์ฟเวอร์ของ 1VPNS
การประกาศครั้งนี้เกิดขึ้นพร้อมกับที่อังกฤษและสหภาพยุโรป (EU) คว่ำบาตรเครือข่ายไซเบอร์รัสเซีย ต่อความพยายาม “อย่างต่อเนื่องและบุ่มบ่ามยิ่งขึ้น” ในการสร้างความวุ่นวายและความแตกแยกทั่วยุโรป โดยมาตรการเล่นงานบุคคลและองค์กร 24 ราย ที่อยู่เบื้องหลังปฏิบัติการไซเบอร์และปฏิบัติการลูกผสมที่มุ่งทำลาย รวมถึงผู้ที่เกี่ยวข้องกับเครือข่ายพร็อกซีที่โยงกับหน่วยข่าวกรองรัสเซีย ในจำนวนนี้มีผู้บริหารระดับสูงของหน่วยข่าวกรองทหารรัสเซีย (GRU) ได้แก่ นาย Vyacheslav Stafeyev นาย Ivan Senin และนาย Ivan Kasyanenko ขณะที่ศูนย์ 16 (Centre 16) ของหน่วยความมั่นคงกลางรัสเซีย (FSB) ถูกระบุว่าอยู่เบื้องหลังปฏิบัติการก่อวินาศกรรมโครงข่ายไฟฟ้าของโปแลนด์เมื่อปลายปีก่อน
รายงานยังเสริมว่าหน่วย 29155 ของ GRU ทำงานร่วมกับอาชญากรไซเบอร์ รวมถึงบริษัท IMPULS เพื่อชักชวนแฮ็กเกอร์และผู้เชี่ยวชาญด้านไซเบอร์จากมหาวิทยาลัยและสถาบันการศึกษาทั่วรัสเซีย นอกจากนี้มาตรการยังพุ่งเป้าไปที่ผู้อยู่เบื้องหลังมัลแวร์ขโมยข้อมูล Lumma Stealer ที่ช่วยให้อาชญากรไซเบอร์เก็บข้อมูลอ่อนไหวจากอุปกรณ์ที่ติดมัลแวร์ในวงกว้าง ซึ่งรัสเซียถูกกล่าวหาว่านำข้อมูลรับรอง (Credential) ที่ขโมยได้ไปใช้ทำจารกรรมไซเบอร์ต่อเป้าหมายทั่วโลก
ต่อมาบริษัท Chainalysis เปิดเผยในรายงานเพิ่มเติมว่ามาตรการคว่ำบาตรของ EU ยังครอบคลุมนาย Vitaly Nikolayevich Kovalev หรือที่รู้จักในชื่อ “Stern” ผู้ดูแลกลุ่มอาชญากรไซเบอร์ TrickBot ซึ่งได้รับเงินค่าไถ่ไปแล้วไม่น้อยกว่า 300 ล้านดอลลาร์ ทำให้ยอดสมาชิก TrickBot ที่ถูกคว่ำบาตรรวมเป็น 19 ราย โดยตัวเลข 300 ล้านดอลลาร์นั้นเป็นเพียงส่วนแบ่งส่วนตัวของ Stern เท่านั้น และเขายังทำธุรกรรมกับแรนซัมแวร์หลายสายพันธุ์ ทั้ง Ryuk, Conti, Diavol, Karakurt, Royal, 3am, Quantum และ Bitpaymer
บทบาทของ VPN และ Cryptor ในระบบนิเวศแรนซัมแวร์
หัวใจของการคว่ำบาตรครั้งนี้อยู่ที่การเล่นงาน “บริการสนับสนุน” ที่อยู่เบื้องหลังการโจมตี ไม่ใช่ตัวกลุ่มแรนซัมแวร์โดยตรง บริการ VPN อย่าง 1VPNS ทำหน้าที่เป็นชั้นอำพรางต้นทาง ทำให้เมื่อกลุ่มแรนซัมแวร์สแกนหาเป้าหมาย วางมัลแวร์ หรือส่งข้อมูลที่ขโมยออกไป ทราฟฟิกจะดูเหมือนมาจากเซิร์ฟเวอร์เช่าที่ไม่เก็บล็อก ทำให้การสืบสวนย้อนกลับไปหาตัวผู้ก่อเหตุทำได้ยากขึ้นมาก ส่วน Cryptor คือเครื่องมืออำพรางไฟล์มัลแวร์ ทำหน้าที่เข้ารหัสหรือบิดเบือนโครงสร้างของแรนซัมแวร์ให้ดูเหมือนโปรแกรมปลอดภัย เพื่อหลบเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสและระบบตรวจจับที่ปลายทาง (EDR)
การที่สหรัฐฯ เลือกคว่ำบาตรทั้งสองส่วนนี้สะท้อนแนวทางใหม่ที่มุ่งตัดวงจร “โครงสร้างพื้นฐานเป็นบริการ” (Infrastructure-as-a-Service) ของอาชญากรรมไซเบอร์ แทนที่จะไล่ตามเฉพาะกลุ่มแรนซัมแวร์ที่เปลี่ยนชื่อและแตกกลุ่มได้ตลอดเวลา ทั้งนี้การคว่ำบาตรของ OFAC ทำให้บุคคลและองค์กรในสหรัฐฯ ถูกห้ามทำธุรกรรมกับผู้ที่ถูกขึ้นบัญชี และทรัพย์สินที่อยู่ในเขตอำนาจสหรัฐฯ จะถูกอายัด
ผลกระทบต่อไทย
แม้การคว่ำบาตรจะเป็นเรื่องของสหรัฐฯ ยุโรป และอังกฤษ แต่กลุ่มแรนซัมแวร์ที่อาศัยบริการ VPN และ Cryptor เหล่านี้ไม่ได้เลือกเหยื่อเฉพาะในตะวันตก องค์กรไทยทั้งภาคธนาคาร โรงพยาบาล การผลิต และหน่วยงานรัฐ ล้วนเคยตกเป็นเป้าของแรนซัมแวร์สายพันธุ์เดียวกับที่ระบุในข่าว โดยเฉพาะ Ryuk และ Conti ที่มีประวัติโจมตีองค์กรทั่วโลก การที่ผู้โจมตีใช้บริการอำพรางต้นทางและ Cryptor หลบ AV หมายความว่าทีมรักษาความปลอดภัยของไทยไม่สามารถพึ่งพาการตรวจจับด้วยลายเซ็นไวรัสหรือการบล็อกตามที่อยู่ IP ต้นทางเพียงอย่างเดียว เพราะทราฟฟิกอันตรายอาจถูกซ่อนให้ดูเหมือนมาจากที่อยู่ IP ภายในหรือบริการ VPN ทั่วไป องค์กรไทยจึงควรถือว่ามัลแวร์ที่ผ่านการอำพรางเป็นภัยที่ต้องตรวจจับด้วยพฤติกรรม ไม่ใช่แค่ลายเซ็น
คำแนะนำ
ผู้ดูแลระบบควรปรับกลยุทธ์ป้องกันให้เน้นการตรวจจับพฤติกรรม (Behavior-based Detection) มากกว่าการพึ่งลายเซ็นไวรัสเพียงอย่างเดียว เนื่องจาก Cryptor ออกแบบมาเพื่อหลบการตรวจแบบลายเซ็นโดยเฉพาะ ควรเฝ้าระวังการเชื่อมต่อออกไปยังบริการ VPN หรือพร็อกซีที่ไม่รู้จักจากเซิร์ฟเวอร์ภายในองค์กร ปิดกั้นเครื่องมือรีโมตที่ไม่ได้รับอนุญาต และจำกัดสิทธิ์บัญชีตามหลักสิทธิ์น้อยที่สุด (Least Privilege) เพื่อลดผลกระทบเมื่อบัญชีใดบัญชีหนึ่งถูกยึด นอกจากนี้ควรสำรองข้อมูลแบบออฟไลน์ (Offline Backup) อย่างสม่ำเสมอและทดสอบการกู้คืน ทบทวนบัญชีผู้ใช้และเครื่องมือจัดการระยะไกลที่ผิดปกติ รวมถึงตรวจสอบให้แน่ใจว่าไม่มีระบบสำคัญที่เปิดเผยสู่อินเทอร์เน็ตโดยไม่จำเป็น
