ตำรวจเยอรมนีเปิดเผยชื่อจริงหัวหน้าแก๊งแรนซัมแวร์รัสเซีย GandCrab·REvil

 (krebsonsecurity.com)
1 คะแนน โดย GN⁺ 22 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • สำนักงานตำรวจอาชญากรรมกลางของเยอรมนีเปิดเผยชื่อจริงของ Daniil Maksimovich Shchukin พลเมืองรัสเซีย โดยระบุว่าเป็นหัวหน้าแก๊งแรนซัมแวร์ GandCrab และ REvil
  • Shchukin ใช้นามแฝงว่า 'UNKN(UNKNOWN)' และเป็นที่รู้จักในฐานะบุคคลสำคัญที่นำรูปแบบ การขู่กรรโชกสองชั้น มาใช้ โดยเรียกเงินจากเหยื่อสองรอบ
  • GandCrab ปรากฏตัวในปี 2018 และรีดไถเงินไปราว 2 พันล้านดอลลาร์ผ่าน โมเดลพันธมิตร ก่อนยุติกิจกรรม จากนั้น REvil ก็ปรากฏขึ้นและ มุ่งเป้าไปที่บริษัทขนาดใหญ่
  • กระทรวงยุติธรรมสหรัฐฯ ได้ขอ อายัดบัญชีคริปโตเคอร์เรนซี ในนามของ Shchukin และทางการเยอรมนีระบุว่าเขามีแนวโน้มสูงที่จะพำนักอยู่ในครัสโนดาร์ ประเทศรัสเซีย
  • REvil พัฒนาตัวเองเป็นโครงสร้างอาชญากรรมเชิงอุตสาหกรรมที่มี การเอาต์ซอร์ซงานและระบบนิเวศย่อย แต่ล่มสลายหลังเหตุ แฮ็ก Kaseya ในปี 2021 และการแทรกแซงของ FBI

เยอรมนีเปิดเผยชื่อจริงของ ‘UNKN’ หัวหน้าแก๊งแรนซัมแวร์รัสเซีย GandCrab·REvil

  • สำนักงานตำรวจอาชญากรรมกลางเยอรมนี (BKA) ระบุว่า Daniil Maksimovich Shchukin เป็นหัวหน้าแก๊งแรนซัมแวร์ GandCrab และ REvil
    • Shchukin ถูกกล่าวหาว่าอยู่เบื้องหลัง การทำลายระบบคอมพิวเตอร์และการข่มขู่กรรโชก อย่างน้อย 130 คดีในเยอรมนีระหว่างปี 2019–2021
    • มีการสอบสวนว่าร่วมกับชาวรัสเซียอีกคนคือ Anatoly Sergeevitsch Kravchuk รีดไถเงินไปราว 2 ล้านยูโร และก่อความเสียหายทางเศรษฐกิจรวมมากกว่า 35 ล้านยูโร
  • BKA ระบุว่า Shchukin ใช้นามแฝง ‘UNKN’ (หรือ UNKNOWN) และเป็นบุคคลสำคัญที่นำรูปแบบ การขู่กรรโชกสองชั้น (double extortion) มาใช้
    • เหยื่อต้องจ่ายเงินครั้งหนึ่งเพื่อรับคีย์ถอดรหัส และอีกครั้งเพื่อป้องกันไม่ให้ข้อมูลที่ถูกขโมยถูกเปิดเผย
    • GandCrab และ REvil ถูกประเมินว่าเป็น เครือข่ายแรนซัมแวร์ขนาดใหญ่ ที่ปฏิบัติการทั่วโลก

การก่อตัวและวิวัฒนาการของ GandCrab และ REvil

  • แรนซัมแวร์ GandCrab ปรากฏตัวในเดือนมกราคม 2018 และดำเนิน โมเดลพันธมิตร (affiliate) ที่แบ่งรายได้ให้แฮ็กเกอร์เพียงแค่เจาะเข้าบัญชีองค์กรได้
    • ทีมพัฒนาออกเวอร์ชันหลัก 5 ครั้งเพื่อหลบเลี่ยงการรับมือของบริษัทความปลอดภัย และปรับปรุงความสามารถอย่างต่อเนื่อง
    • ในเดือนพฤษภาคม 2019 กลุ่มประกาศยุติกิจกรรมหลังรีดไถเงินได้ราว 2 พันล้านดอลลาร์ พร้อมทิ้งข้อความว่า “แม้ทำความชั่วก็รวยได้อย่างปลอดภัย”
  • หลัง GandCrab ยุติกิจกรรมไม่นาน แรนซัมแวร์ REvil ก็ปรากฏตัว
    • ผู้ใช้ชื่อ ‘UNKNOWN’ วางเงินประกัน 1 ล้านดอลลาร์ในฟอรัมอาชญากรรมรัสเซียเพื่อสร้างความน่าเชื่อถือ และถูกมองว่าเป็นการปรับโครงสร้างต่อจาก GandCrab
    • REvil พัฒนาไปสู่กลยุทธ์ ‘big game hunting’ ที่มุ่งเป้า องค์กรขนาดใหญ่และองค์กรที่มีประกันภัย เพื่อเรียกค่าไถ่มหาศาล

ตัวตนของ Shchukin และการสืบสวนระหว่างประเทศ

  • ในเดือนกุมภาพันธ์ 2023 กระทรวงยุติธรรมสหรัฐฯ ระบุชื่อของ Shchukin ในคำร้องขอ อายัดบัญชีคริปโตเคอร์เรนซี ที่บรรจุรายได้จากกิจกรรมของ REvil
    • กระเป๋าเงินดังกล่าวมี คริปโตเคอร์เรนซีมูลค่าประมาณ 317,000 ดอลลาร์
  • BKA ระบุว่า Shchukin มีถิ่นกำเนิดจาก ครัสโนดาร์ ประเทศรัสเซีย และมีความเป็นไปได้สูงว่ายังคงอาศัยอยู่ที่นั่น
    • พร้อมระบุว่า “มีความเป็นไปได้ว่าอาจพำนักอยู่ต่างประเทศ และไม่อาจตัดความเป็นไปได้เรื่องการเดินทางได้”

การดำเนินงานของ REvil และโครงสร้างอาชญากรรมที่เป็นอุตสาหกรรม

  • ตามหนังสือ The Ransomware Hunting Team ของ Renee Dudley และ Daniel Golden REvil เพิ่มประสิทธิภาพสูงสุดผ่าน การเอาต์ซอร์ซงานและการลงทุนซ้ำ (reinvestment) คล้ายบริษัทถูกกฎหมาย
    • นักพัฒนามุ่งเน้นการยกระดับคุณภาพ ขณะที่ผู้ให้บริการภายนอกรับผิดชอบ การออกแบบเว็บ โลจิสติกส์ และบริการเข้ารหัส
    • มีระบบนิเวศย่อยหลากหลาย เช่น ผู้ให้บริการ ‘crypter’, ‘initial access broker’ และบริการฟอกบิตคอยน์ ทำให้อุตสาหกรรมอาชญากรรมขยายตัวต่อเนื่อง

เหตุการณ์สำคัญและการล่มสลาย

  • ในช่วงสุดสัปดาห์วันที่ 4 กรกฎาคม 2021 REvil แฮ็กบริษัทจัดการไอทีของสหรัฐฯ Kaseya ทำให้ลูกค้ากว่า 1,500 รายได้รับผลกระทบ
    • FBI ระบุว่าก่อนหน้านั้นได้แทรกซึมเข้าเซิร์ฟเวอร์ของ REvil แล้ว แต่ไม่สามารถแทรกแซงได้ทันทีเพื่อหลีกเลี่ยงการเปิดเผยปฏิบัติการ
    • หลังจากนั้นเมื่อ FBI เผยแพร่ คีย์ถอดรหัสฟรี REvil ก็ล่มสลายลงโดยพฤตินัย

เบาะแสเพิ่มเติมและการยืนยันตัวตน

  • ผลการวิเคราะห์ฟอรัมของบริษัทข่าวกรองไซเบอร์ Intel 471 พบว่า Shchukin เคยใช้ชื่อ ‘Ger0in’ และมีประวัติขายบริการควบคุมบอตเน็ตและติดตั้งมัลแวร์
    • Ger0in เคลื่อนไหวในช่วงปี 2010–2011 และยังไม่ยืนยันความเชื่อมโยงโดยตรงกับ UNKNOWN
  • ผ่านเว็บไซต์เปรียบเทียบภาพ Pimeyes พบว่าภาพที่ BKA เผยแพร่ตรงกับบุคคลใน ภาพงานวันเกิดที่ครัสโนดาร์ในปี 2023 ซึ่งสวมใส่นาฬิกาเรือนเดียวกัน
  • ในการประชุม CCC (Chaos Communication Congress) ที่เยอรมนีเมื่อปี 2023 ก็มีการเผยแพร่ เสียงพากย์ภาษาอังกฤษ ที่กล่าวถึง Shchukin ว่าเป็นผู้นำของ REvil

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 22 일 전
ความเห็นจาก Hacker News

  • จำได้ว่าเมื่อหลายปีก่อน แฮกเกอร์จาก CCC ก็เคยระบุตัวตนของหนึ่งในคนเหล่านี้ได้แล้ว
    ตามที่มีการกล่าวถึงในอัปเดต เรื่องนี้ก็ถูกพูดถึงในวิดีโอนำเสนอของ CCCด้วย
    เลยสงสัยว่าหน่วยงานสืบสวนค้นพบเรื่องนี้เอง หรือไปขอความช่วยเหลือจากแฮกเกอร์ที่เคยมีส่วนในการป้องกันมาก่อน

    • ฉันไม่ได้รู้ลึกในประเด็นนี้มากนัก แต่โดยทั่วไปแล้วความสัมพันธ์ระหว่าง CCC กับ BND (หน่วยข่าวกรองเยอรมนี) ไม่ได้ดีนัก
      โดยเฉพาะหลังเหตุการณ์ที่ BND สอดแนมพลเมืองเยอรมัน และในทางประวัติศาสตร์ก็มีความขัดแย้งกันอยู่แล้ว
      เพราะงั้นถ้าแฮกเกอร์ไปให้ความร่วมมือกับ BND ก็เสี่ยงจะเสียความน่าเชื่อถือในหมู่แฮกเกอร์ด้วยกัน
    • Linus Neumann เองก็เพิ่งตั้งข้อสงสัยว่าทำไมเรื่องนี้ถึงเกิดขึ้นตอนนี้ ในพอดแคสต์ตอน Logbuch Netzpolitik ล่าสุด
      เขาบอกว่าฝั่งพวกเขาก็ไม่เคยได้รับการติดต่ออย่างเป็นทางการเช่นกัน

  • ไม่นานมานี้ Spiegel ก็ลงวิดีโอรายงานเกี่ยวกับคดีนี้

  • อดสงสัยไม่ได้ว่าการเอาใครสักคนขึ้นไปไว้ใน ‘รายชื่อผู้ต้องหาที่ต้องการตัวมากที่สุด’ ถือเป็น การ doxxing หรือเปล่า
    ในคำอธิบายอย่างเป็นทางการระบุว่า “Daniil Maksimovich Shchukin ถูกออกหมายจับสากลในข้อหา ข่มขู่เรียกค่าไถ่ด้วยแรนซัมแวร์ ต่อบริษัทและหน่วยงานสาธารณะ”

    • ฉันไม่ค่อยสบายใจกับการใช้คำนี้ เพราะเดิมที ‘doxxing’ มี ความหมายเชิงลบ ใช้กับการเปิดเผยข้อมูลส่วนตัวของคนที่ไม่ได้ทำผิด
      ในกรณีนี้ฉันคิดว่า ‘accuse’ หรือ ‘unmask’ น่าจะตรงกว่า
    • เมื่อภาษามีการเปลี่ยนแปลง ทุกวันนี้ดูเหมือนว่า ‘doxxing’ จะถูกใช้ในความหมายของ การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม มากกว่า
    • มีคนบอกว่าสหรัฐฯ ระบุตัวเขาได้แล้วตั้งแต่ 3 ปีก่อน
    • ฉันรู้สึกว่าตรรกะแบบนี้เข้าใจยาก เหมือนจะเอา GDPR มาจริงจังเกินไปหน่อย (พูดเล่น)
    • ถ้าแค่ใส่ชื่อ ‘UNKN’ ไว้ในรายชื่อผู้ต้องหา ก็คงไม่ถือเป็น doxxing แต่พอเอา ‘UNKN’ ไปเชื่อมกับชื่อจริง ก็อาจมองว่าเป็น doxxing ได้

  • ไม่เข้าใจว่าการ “เปิดเผยชื่อของผู้ข่มขู่ที่ไม่เปิดเผยตัวตน” ทำไมถึงนับเป็น doxxing
    ในบทความก็ไม่ได้มีที่อยู่ ข้อมูลครอบครัว หรือข้อมูลติดต่อ แค่ระบุว่าเป็น “บุคคลที่ต้องการจับกุม” เท่านั้น

    • ช่วงนี้ดูเหมือนความหมายของ ‘doxxing’ จะขยายไปเป็น ‘การเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าตัว’
      ปัญหาคือการเปิดเผยแบบนี้อาจทำให้คนรอบข้างมองว่าเขาเป็น อาชญากรหรือเพื่อนบ้านเศรษฐี จนเกิดการพยายามลักทรัพย์หรือข่มขู่ได้
      เคยมีกรณีที่มีคนถึงขั้น ปลอมตัวเป็นหน่วยข่าวกรอง เพื่อไปข่มขู่ไซเบอร์อาชญากรที่ถูก doxxed แล้ว
    • แถมคำว่า “เยอรมนีต้องการตัว” เองก็ดูไม่ได้มีอิทธิพลอะไรนัก

  • ดูเหมือนหลายคนจะยึดติดกับความหมายของคำว่า ‘doxxing’ มากเกินไป
    ในชุมชนแฮกเกอร์นิรนาม การเปิดโปง OPSEC (การปฏิบัติการด้านความปลอดภัย) ของใครสักคนก็มักถูกมองว่าเป็น doxxing อยู่แล้ว
    บางคนใช้แนวทางแบบ ‘full disclosure’ โดยเปิดเผยความล้มเหลวของ OPSEC ทุกอย่างทันที
    ไม่อย่างนั้นอาจมีคนเก็บข้อมูลนั้นไว้แล้วค่อยเอาไปใช้แบล็กเมลทีหลัง

  • ฉันคิดว่า ‘doxxes’ คือการสะกดที่ถูกต้อง ส่วน ‘doxes’ ฟังแล้วเหมือนออกเสียงเป็น ‘ด็อกซีซ’ เลยแปลก ๆ
    ถ้าเป็นเมื่อหลายสิบปีก่อน พาดหัวแบบนี้คงฟังเหมือนเกมคำที่ชวนงง มาก

  • ไม่รู้เหมือนกันว่าตั้งแต่เมื่อไร การขึ้นรายชื่อผู้ต้องหาทางการ ถึงกลายเป็น doxxing ไปได้
    ถ้าอยากให้เอาข้อมูลลง ก็ไปขึ้นศาลก็จบ