สรุปสั้น

อัยการรัฐบาลกลางสหรัฐฯ เปิดเผยข้อกล่าวหาต่อชาวรัสเซีย 3 ราย โดยกล่าวหาว่าพวกเขาให้บริการโฮสติงกันกระสุน (Bulletproof Hosting หรือ BPH) แก่กลุ่มแรนซัมแวร์ที่สร้างความเสียหายต่อเหยื่อทั่วโลกไปกว่า 62 ล้านดอลลาร์ ผู้ให้บริการ BPH คือผู้ที่ปล่อยเช่าเซิร์ฟเวอร์ซึ่งช่วยขัดขวางความพยายามในการหยุดยั้งกิจกรรมอันตราย ทั้งการส่งมัลแวร์ การดำเนินการควบคุมและสั่งการ (Command-and-Control) การโจมตีฟิชชิง และการเก็บเนื้อหาผิดกฎหมาย โดยพวกเขาโฆษณาตัวเองว่า “กันกระสุน” เพราะจะเพิกเฉยต่อคำร้องเรียนของเหยื่อและคำขอให้ปิดระบบจากเจ้าหน้าที่รัฐ บริการทั้งสองคือ Media Land และ ML.Cloud ยังจัดหาโครงสร้างพื้นฐานให้ลูกค้าในหลายประเทศนอกรัสเซีย ทั้งจีน ฟินแลนด์ เนเธอร์แลนด์ และสหรัฐฯ

ตามคำฟ้องที่เปิดเผยเมื่อวันอังคาร นาย Aleksandr Volosovik (ใช้นามแฝง “Yalishanda” บนเว็บบอร์ดอาชญากรไซเบอร์) เป็นเจ้าของ Media Land ส่วนนาง Yulia Pankova เป็นเจ้าของ ML.Cloud และช่วยจัดการเรื่องกฎหมายและการเงิน ขณะที่นาย Kirill Zatolokin ทำหน้าที่เก็บเงินจากลูกค้า นอกจากนี้กระทรวงการต่างประเทศสหรัฐฯ ยังเสนอรางวัลสูงสุด 10 ล้านดอลลาร์ผ่านโครงการ Rewards for Justice สำหรับข้อมูลเกี่ยวกับผู้ที่เชื่อมโยงกับรัฐบาลต่างชาติของบุคคลเหล่านี้ กิจกรรมไซเบอร์อันตราย หรือการที่รัฐบาลต่างชาติใช้บริการของบริษัทเหล่านี้

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 15 กรกฎาคม 2569 ว่าคำฟ้องที่เปิดผนึกเมื่อวันอังคารได้ตั้งข้อกล่าวหาต่อผู้ต้องหาทั้งสามราย โดยก่อนหน้านี้สหรัฐฯ สหราชอาณาจักร และออสเตรเลียได้ร่วมกันคว่ำบาตรผู้ต้องหาทั้งสามและบริษัททั้งสองไปแล้วเมื่อเดือนพฤศจิกายน ฐานจัดหาโครงสร้างพื้นฐานสำหรับการโจมตีและการสนับสนุนทางเทคนิคให้กับปฏิบัติการแรนซัมแวร์และอาชญากรรมไซเบอร์หลายกลุ่ม รวมถึงกลุ่มดังอย่าง Lockbit, BlackSuit และ Play สำนักงานควบคุมทรัพย์สินต่างชาติ (OFAC) ของกระทรวงการคลังระบุในตอนนั้นว่าโครงสร้างพื้นฐานของ Media Land ถูกใช้เปิดการโจมตีปฏิเสธการให้บริการแบบกระจาย (DDoS) ต่อบริษัทและโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงระบบโทรคมนาคม

นาย David M. Toepfer อัยการสหรัฐฯ กล่าวว่าเหยื่อในคดีนี้ไม่ได้อยู่แค่ในรัฐโอไฮโอ แต่กระจายอยู่ใน 20 รัฐทั่วประเทศ ครอบคลุมทุกแง่มุมของชีวิตชาวอเมริกัน ทั้งธนาคาร โรงเรียน หน่วยงานรัฐ โรงพยาบาล และบริษัทสื่อ พร้อมย้ำว่าจะร่วมมือกับพันธมิตรระหว่างประเทศเพื่อปราบปรามผู้ที่ซ่อนตัวอยู่หลังคอมพิวเตอร์ไม่ว่าจะอยู่ที่ใดในโลก ที่มุ่งแสวงหาผลกำไรและสร้างความเสียหายด้วยการโจมตีโครงสร้างพื้นฐานที่หล่อเลี้ยงชุมชน

ในสัปดาห์เดียวกันนี้ คณะมนตรีแห่งสหภาพยุโรป (EU) ก็ประกาศคว่ำบาตร Media Land, ML.Cloud และนาย Alexander Volosovik ด้วย ซึ่งเป็นส่วนหนึ่งของชุดมาตรการคว่ำบาตรไซเบอร์ร่วมชุดแรกที่ออกต่อรัสเซียโดยความร่วมมือกับสหราชอาณาจักร นับเป็นการประสานงานระหว่างสหรัฐฯ ยุโรป และพันธมิตรเพื่อกดดันเครือข่ายผู้ให้บริการโครงสร้างพื้นฐานที่รองรับอาชญากรรมไซเบอร์จากหลายทิศทางพร้อมกัน ทั้งการตั้งข้อหาทางอาญา การคว่ำบาตรทางการเงิน และการตั้งรางวัลนำจับ

รายละเอียดเครือข่าย Bulletproof Hosting

หัวใจของบริการ Bulletproof Hosting คือการเป็นเกราะกำบังให้อาชญากรไซเบอร์ดำเนินกิจกรรมได้อย่างต่อเนื่องโดยไม่ถูกขัดขวาง ผู้ให้บริการ BPH จะจงใจเพิกเฉยต่อคำร้องเรียนเรื่องการละเมิด (Abuse Report) และคำสั่งให้ปิดระบบจากเจ้าหน้าที่ ทำให้เซิร์ฟเวอร์ที่ใช้ส่งมัลแวร์หรือเป็นเซิร์ฟเวอร์สั่งการยังทำงานต่อไปได้แม้จะถูกตรวจพบ นอกจากนี้การกระจายโครงสร้างพื้นฐานไปยังหลายประเทศ ทั้งจีน ฟินแลนด์ เนเธอร์แลนด์ และสหรัฐฯ ยังช่วยให้กลุ่มแรนซัมแวร์ปกปิดต้นทางและทำให้การสืบสวนข้ามพรมแดนยุ่งยากขึ้น การที่บริการเดียวรองรับกลุ่มแรนซัมแวร์ระดับแนวหน้าอย่าง Lockbit, BlackSuit และ Play สะท้อนว่า BPH เป็นเสาหลักที่หล่อเลี้ยงระบบนิเวศอาชญากรรมไซเบอร์ ไม่ต่างจากบริการ VPN และเครื่องมืออำพรางมัลแวร์ที่ทางการหลายประเทศเริ่มพุ่งเป้าเล่นงานโครงสร้างพื้นฐานสนับสนุนเหล่านี้แทนการไล่จับเฉพาะตัวกลุ่มแรนซัมแวร์

ผลกระทบต่อไทย

แม้คดีนี้จะมีเหยื่อหลักอยู่ในสหรัฐฯ แต่กลุ่มแรนซัมแวร์ที่ใช้บริการ Media Land อย่าง Lockbit, BlackSuit และ Play ล้วนเป็นกลุ่มที่โจมตีองค์กรทั่วโลกรวมถึงในไทยและภูมิภาคเอเชียตะวันออกเฉียงใต้ การที่กลุ่มเหล่านี้อาศัยโครงสร้างพื้นฐานกันกระสุนกระจายในหลายประเทศ หมายความว่าการโจมตีองค์กรไทยอาจมีต้นทางที่ปกปิดไว้อย่างแนบเนียน ทำให้การสืบสวนย้อนกลับและการขอความร่วมมือปิดระบบทำได้ยาก องค์กรไทยจึงไม่ควรพึ่งพาการบล็อกตามที่อยู่ IP หรือประเทศต้นทางเพียงอย่างเดียว แต่ควรเน้นการตรวจจับพฤติกรรมของแรนซัมแวร์ตั้งแต่ระยะแรก เช่น การเข้าถึงไฟล์จำนวนมากผิดปกติ การปิดระบบสำรองข้อมูล และการเชื่อมต่อออกไปยังเซิร์ฟเวอร์สั่งการที่ไม่รู้จัก

คำแนะนำ

ผู้ดูแลระบบควรเสริมการป้องกันแรนซัมแวร์แบบหลายชั้น โดยสำรองข้อมูลแบบออฟไลน์ (Offline Backup) อย่างสม่ำเสมอและทดสอบการกู้คืนจริง จำกัดสิทธิ์บัญชีตามหลักสิทธิ์น้อยที่สุด (Least Privilege) และแยกเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายเมื่อถูกเจาะ ควรเฝ้าระวังการเชื่อมต่อขาออกไปยังโครงสร้างพื้นฐานที่น่าสงสัย และใช้ระบบตรวจจับพฤติกรรม (Behavior-based Detection) ที่สามารถจับสัญญาณการเข้ารหัสไฟล์จำนวนมากหรือการปิดเครื่องมือความปลอดภัยได้ตั้งแต่เนิ่นๆ นอกจากนี้ควรอัปเดตแพตช์ระบบและอุปกรณ์ที่เปิดสู่อินเทอร์เน็ตอย่างสม่ำเสมอ เพราะกลุ่มแรนซัมแวร์อย่าง Lockbit และ Play มักอาศัยช่องโหว่ที่ยังไม่แพตช์เป็นช่องทางเข้าถึงเริ่มต้น

แหล่งอ้างอิง