สรุปสั้น

อาร์เมเนียได้ควบคุมตัวนักท่องเที่ยวชาวรัสเซียชื่อนาย Aleksandr Ermakov ไว้ในสถานกักกันตั้งแต่วันที่ 28 มิถุนายน ตามคำร้องขอส่งผู้ร้ายข้ามแดนของสหรัฐฯ ในคดีผู้ต้องสงสัยแรนซัมแวร์ REvil ที่มีชื่อว่า Aleksandr Ermakov เช่นกัน นาง Maria Yurova ภรรยาของเขาเล่าให้สื่อ REN TV ฟังว่าเจ้าหน้าที่ชายแดนได้ดึงตัวสามีออกจากโถงผู้โดยสารขาออกที่สนามบิน Zvartnots กรุงเยเรวาน โดยชูโทรศัพท์ที่มีภาพของเขาจากหน้า VKontakte แล้วพาเข้าไปในห้องด้านข้าง ทนายความของเขายืนยันว่าทางการสหรัฐฯ จับผิดคน

ตัว Ermakov ที่สหรัฐฯ ต้องการคือนาย Aleksandr Gennadievich Ermakov ซึ่งถูกออสเตรเลีย สหรัฐฯ และสหราชอาณาจักรคว่ำบาตรเมื่อเดือนมกราคม 2567 ในข้อหาขโมยข้อมูล 9.7 ล้านรายการจาก Medibank Private หนึ่งในบริษัทประกันสุขภาพเอกชนรายใหญ่ที่สุดของออสเตรเลีย และนำบางส่วนไปเผยแพร่บนดาร์กเว็บ อีกทั้งเขายังกำลังรับโทษในรัสเซียเป็นเวลา 2 ปีที่ห้ามออกนอกประเทศ ขณะที่ชายในห้องขังของอาร์เมเนียตามคำบอกเล่าของทนายคือนาย Aleksandr Yuryevich Ermakov จากเมือง Omsk อดีตนักกฎหมายของกรมราชทัณฑ์ที่พูดภาษาอังกฤษไม่ได้

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 17 กรกฎาคม พ.ศ. 2569 ว่านาย Ermakov ที่ถูกคุมตัวถูกกล่าวหาว่ามีส่วนร่วมในการโจมตีด้วยแรนซัมแวร์ Sodinokibi หรือ REvil ในช่วงประมาณเดือนเมษายน 2562 ถึง 12 กรกฎาคม 2564 โดยมีเหยื่อมากกว่า 1,000 รายทั้งบริษัทเอกชน หน่วยงานบังคับใช้กฎหมาย สำนักงานรัฐ โรงเรียน และโรงพยาบาล บางส่วนอยู่ในเขตตอนเหนือของรัฐเท็กซัส ข้อมูลนี้มาจากเอกสารตั้งข้อหาของสหรัฐฯ ส่วนหมายแจ้งของ Interpol ที่ต่อยอดจากเอกสารดังกล่าวระบุไปไกลกว่านั้นว่าเขาเป็นหนึ่งในผู้ดูแลแพลตฟอร์มที่มีส่วนแบ่งรายได้กว่า 13.7 ล้านดอลลาร์

จุดที่น่าสังเกตคือ Medibank ถูกเจาะเมื่อเดือนตุลาคม 2565 ซึ่งเป็นเวลา 15 เดือนหลังจากช่วงเวลาที่ระบุในหมายจับปิดลง และสหรัฐฯ ไม่เคยประกาศตั้งข้อหา Ermakov ในคดี Medibank เลย โดยการกำหนดของกระทรวงการคลังสหรัฐฯ จัดให้เขาอยู่ที่ “ขอบ” ของกลุ่ม REvil ในฐานะผู้ที่ “เชื่อว่าเชื่อมโยง” กับแก๊ง แต่หมายแจ้งของ Interpol กลับวางเขาไว้ที่ศูนย์กลาง ทั้งนี้หนังสือเดินทางรัสเซียจะมีช่องนามสกุลบิดา (Patronymic) ซึ่งเป็นช่องที่ใช้แยกแยะ Aleksandr Ermakov คนหนึ่งจากอีกคนหนึ่ง โดยรายชื่อของออสเตรเลียและสหราชอาณาจักรระบุว่าเป็น Aleksandr Gennadievich Ermakov เกิดวันที่ 16 พฤษภาคม 2533 แต่บันทึกของ OFAC สหรัฐฯ กลับไม่มีช่องนี้ ระบุเพียงชื่อและนามสกุลเท่านั้น

รายละเอียดคดี

นาย Dylan Rajavi หนึ่งในทนายความของชายที่ถูกคุมตัว บอกกับสื่อ Izvestia ว่าทฤษฎีของฝ่ายจำเลยคือเอกสารของสหรัฐฯ มีเพียงชื่อและนามสกุลเท่านั้น แล้วระบบตรวจสอบอัตโนมัติก็ทำงานที่เหลือ เขายังชี้ว่ามีวิธีมาตรฐานในการยืนยันตัวตน เช่น ลายนิ้วมือหรือข้อมูลหนังสือเดินทางฉบับเต็ม แต่ยังไม่มีการนำหลักฐานทั้งสองอย่างมาแสดง โดยมีเพียงหมายจับเท่านั้น ทั้งนี้ทางการอาร์เมเนียยังไม่ได้ให้ข้อมูล กระทรวงยุติธรรมสหรัฐฯ ยังไม่ได้ประกาศตั้งข้อหา และชายผู้นี้ถูกควบคุมตัวตามคำสั่งกักตัวของ Interpol เป็นเวลา 30 วัน ระหว่างที่มอสโกขอเข้าเยี่ยมทางกงสุลจากเยเรวาน

ที่มาของชื่อ Ermakov ตัวจริงนั้น หน่วยข่าวกรองสัญญาณและตำรวจสหพันธ์ออสเตรเลียใช้เวลา 18 เดือนในปฏิบัติการ Operation Aquila ก่อนจะระบุชื่อเขา หลังจากออสเตรเลียเผยแพร่ฉายาต่าง ๆ บริษัท Intel 471 ได้ย้อนกลับไปดูข้อมูลฟอรัมที่เก็บรวบรวมมาหลายปี และพบว่า SHTAZI และ shtaziIT เป็นฉายาของ Ermakov ขณะที่ฉายา JimJones ของเขาเคยใช้เวลาปี 2562 และ 2563 บนฟอรัม Exploit ขายบริการพัฒนามัลแวร์และร้านพัฒนาซอฟต์แวร์ชื่อ Shtazi-IT ต่อมาหนึ่งเดือนให้หลัง ตำรวจรัสเซียระบุว่าได้ทลายทีมแรนซัมแวร์ SugarLocker ที่ดำเนินการอยู่เบื้องหลัง Shtazi-IT และในเดือนตุลาคม 2567 ศาลมอสโกได้ตัดสินให้ Ermakov ถูกจำกัดเสรีภาพ 2 ปีภายใต้มาตรา 273 ของกฎหมายว่าด้วยมัลแวร์ของรัสเซีย ในข้อหาร่วมเขียน SugarLocker และขายให้ผู้ซื้อพร้อมแผงควบคุมผ่าน Tor ซึ่งโทษยังไม่หมดลง เท่ากับว่าการคว่ำบาตรกว่าสองปีครึ่ง ปฏิบัติการข่าวกรอง 18 เดือน และหมายจับใหม่ของสหรัฐฯ กลับส่งผลให้มี Aleksandr Ermakov เพียงคนเดียวถูกขังในห้องขัง และทนายของเขายืนยันว่าเป็นคนผิด

ผลกระทบต่อไทย

แม้คดีนี้จะเกิดในอาร์เมเนียและเกี่ยวข้องกับพลเมืองรัสเซีย แต่เป็นบทเรียนสำคัญเรื่องความเสี่ยงของการระบุตัวตนผิดพลาดในกระบวนการบังคับใช้กฎหมายไซเบอร์ข้ามพรมแดน โดยเฉพาะเมื่อระบบตรวจสอบอัตโนมัติอ้างอิงเพียงชื่อและนามสกุลโดยไม่มีข้อมูลยืนยันตัวตนที่รัดกุมเช่นลายนิ้วมือหรือหนังสือเดินทางฉบับเต็ม ประเทศไทยในฐานะจุดหมายปลายทางท่องเที่ยวยอดนิยมที่มีนักท่องเที่ยวต่างชาติจำนวนมากผ่านเข้าออก และมีความร่วมมือกับ Interpol อยู่แล้ว จึงควรตระหนักถึงความสำคัญของการตรวจสอบยืนยันตัวตนอย่างรอบด้านก่อนควบคุมตัวบุคคลตามหมายจับระหว่างประเทศ เพื่อป้องกันการจับกุมผิดตัวที่อาจนำไปสู่ปัญหาทางกฎหมายและสิทธิมนุษยชน นอกจากนี้คดี REvil และ SugarLocker ยังสะท้อนว่าปฏิบัติการปราบปรามแรนซัมแวร์ระดับสากลยังคงเดินหน้าอย่างต่อเนื่อง

คำแนะนำ

หน่วยงานบังคับใช้กฎหมายและองค์กรที่เกี่ยวข้องกับการยืนยันตัวตนควรใช้ตัวบ่งชี้ที่เชื่อถือได้มากกว่าชื่อและนามสกุล เช่น ลายนิ้วมือ ข้อมูลชีวมิติ หมายเลขหนังสือเดินทางฉบับเต็ม และช่องนามสกุลบิดาในเอกสารรัสเซีย ก่อนดำเนินการควบคุมตัวหรือส่งผู้ร้ายข้ามแดน สำหรับองค์กรทั่วไป คดีนี้เป็นเครื่องเตือนใจถึงภัยแรนซัมแวร์ REvil และ SugarLocker ที่ยังคงเป็นภัยคุกคาม ควรสำรองข้อมูลสำคัญแบบออฟไลน์อย่างสม่ำเสมอ อัปเดตแพตช์ระบบให้เป็นปัจจุบัน เปิดใช้งาน multi-factor authentication และฝึกอบรมพนักงานให้รู้เท่าทันอีเมลฟิชชิงซึ่งเป็นช่องทางเริ่มต้นที่แก๊งแรนซัมแวร์นิยมใช้เจาะระบบ

แหล่งอ้างอิง