กระทรวงยุติธรรมสหรัฐฯ ประกาศการจับกุมตัวผู้มีส่วนเกี่ยวข้องกับ REvil ransomware ที่มีส่วนในการโจมตีบริษัท Kaseya เมื่อวันที่ 2 กรกฎาคม และยึดเงินคืนได้กว่า 6 ล้านดอลลาร์
ผู้ต้องสงสัยคือ Yaroslav Vasinskyi สัญชาติยูเครน วัย 22 ปี ถูกจับกุมเมื่อวันที่ 8 ตุลาคมในข้อหาก่ออาชญากรรมทางไซเบอร์ตามคำสั่งของสหรัฐอเมริกาเมื่อพบว่าผู้ต้องสงสัยพยายามเข้าประเทศโปแลนด์จากประเทศบ้านเกิดของเขา(ยูเครน)
Vasinskyi เป็นที่รู้จักในนามแฝง (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468 และ Affiliate 22) เป็นหนึ่งในผู้ที่มีส่วนเกี่ยวข้องกับ REvil ransomware ซึ่งโดนจับกุมด้วยความร่วมมือระหว่างประเทศในการต่อสู้กับภัยคุกคามจากแรนซัมแวร์
การเรียกค่าไถ่จำนวนมากกว่า 760 ล้าน
ข่าวการจับกุม Vasinskyi ไม่ได้รับความสนใจเท่าใดนัก จนกระทั่งมีคำสั่งฟ้อง และหมายจับถูกเปิดเผยเมื่อวันที่ 5 พฤศจิกายน
ในการแถลงข่าวในวันนี้กระทรวงยุติธรรมสหรัฐฯ ได้ประกาศข้อกล่าวหาต่อ Vasinskyi โดยเน้นย้ำถึงการมีส่วนร่วมในการโจมตี Kaseya ซึ่งส่งผลกระทบต่อธุรกิจประมาณ 1,500 แห่งทั่วโลก
REvil ransomware หรือที่เรียกว่า Sodinokibi ที่มาจากกลุ่ม GandCrab ได้มีการโจมตีด้วยการใช้ประโยชน์จากช่องโหว่ใน WebLogic Server ในเดือนเมษายน 2019
ตามคำฟ้อง Vasinskyi เป็นผู้ที่มีส่วนเกี่ยวข้อง REvil ransomware มาเป็นเวลานาน โดยเป็นส่วนหนึ่งที่ร่วมกันทำการโจมตีประมาณ 2,500 ครั้งกับธุรกิจทั่วโลก ตั้งแต่วันที่ 1 มีนาคม 2019
การสอบสวนเปิดเผยว่าการเรียกค่าไถ่ของ Vasinskyi มีมูลค่าทั้งหมด 767 ล้านดอลลาร์ แต่มีเหยื่อยอมจ่ายเงินเพียง 2.3 ล้านดอลลาร์ เชื่อกันว่า Vasinskyi มีส่วนเกี่ยวข้องกับการโจมตีบริษัทอย่างน้อยเก้าแห่งในสหรัฐอเมริกา
ในทางกลับกันการเรียกค่าไถ่ทั้งหมดที่เกิดขึ้นจาก REvil ransomware ได้รับเงินไปมากกว่า 200 ล้านดอลลาร์ นับตั้งแต่เริ่มดำเนินการ และเข้ารหัสคอมพิวเตอร์มาแล้วอย่างน้อย 175,000 เครื่อง
ในบรรดาบริษัททั้งหมดที่ถูกโจมตี บริษัท Kaseya Managed Service Provider (MSP) เป็นบริษัทที่ใหญ่ที่สุด โดยถูกเรียกค่าไถ่เป็นเงิน 70 ล้านดอลลาร์เพื่อเป็นค่าถอดรหัสของระบบทั้งหมด
เหตุการณ์นี้ส่งผลให้สหรัฐฯ ต้องเร่งดำเนินการเพื่อต่อต้านกับภัยคุกคามแรนซัมแวร์ โดยมีการร่วมมือกับหน่วยงานบังคับใช้กฎหมายทั่วโลก ซึ่งสหรัฐฯ ร้องขอให้มีการส่งตัวผู้ร้ายข้ามแดน เพื่อทำการประกาศข้อกล่าวหา และดำเนินคดีกับ Vasinskyi
การยึดเงินคืนจาก Ransomware
กระทรวงยุติธรรมสหรัฐฯ ยังประกาศด้วยว่าหน่วยงานบังคับใช้กฎหมายได้ยึดเงินจำนวน 6.1 ล้านดอลลาร์ จาก Yevgeniy Polyanin สัญชาติรัสเซียซึ่งมีส่วนเกี่ยวข้องกับ REvil ransomware เช่นเดียวกัน
ก่อนหน้านี้สหรัฐฯ ได้เงินเรียกค่าไถ่คืนจำนวน 4.4 ล้านดอลลาร์ ที่ Colonial Pipeline จ่ายให้กับกลุ่ม DarkSide Ransomware หลังจากการโจมตีที่ทำให้การจ่ายเชื้อเพลิงหยุดชะงักลง
Polyanin ที่รู้จักกันในนามแฝง (LK4D4, Damnating, damn2Life, Noolleds, Antunpitre, Affiliate 23) เชื่อว่ามีส่วนในการโจมตีองค์กรต่าง ๆ รวมถึงหน่วยงานรัฐบาลของสหรัฐฯ และบริษัทเอกชนหลายแห่งประมาณ 3,000 ครั้ง โดยมีการเรียกค่าไถ่เงินจากเหยื่อไปประมาณ 13 ล้านดอลลาร์
ตามคำฟ้อง Polyanin ได้มีการเข้าถึง และเข้ารหัสเครือข่ายของหน่วยงานรัฐบาล 13 แห่งในเท็กซัส ซึ่งเป็นช่วงเดียวกันกับที่รัฐบาลท้องถิ่น 22 แห่งถูกโจมตีจาก REvil ransomware ที่ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์จาก MSP เมื่อประมาณวันที่ 16 สิงหาคม 2019
ในขณะที่แฮกเกอร์เรียกค่าไถ่รวมเป็นเงิน 2.5 ล้านดอลลาร์ ถือเป็นจำนวนที่เยอะที่สุดในขณะนั้น แต่แฮกเกอร์ไม่ได้อะไรจากการเรียกค่าไถ่ในครั้งนี้ เนื่องจากการประสานงานของรัฐ และรัฐบาลกลางในการช่วยกู้ระบบกลับคืนมา
ส่วนหนึ่งของกลยุทธ์ในการตอบโต้ภัยคุกคามแรนซัมแวร์ กระทรวงการคลังสหรัฐฯ ประกาศคว่ำบาตรทั้ง Polyanin และ Vasinskyi โดยอายัติทรัพย์สิน และผลประโยชน์ทั้งหมดที่อยู่ภายใต้เขตอำนาจศาลของสหรัฐอเมริกา
"นอกจากนี้มากกว่า 50 เปอร์เซ็นต์ของหน่วยงาน หรือบุคคล ที่มีส่วนร่วมในการทำธุรกรรมบางอย่าง อาจมีความเสี่ยงต่อการโดนคว่ำบาตร หรือถูกดำเนินคดีตามกฎหมายด้วยเช่นกัน" - กระทรวงการคลังสหรัฐฯ
ข้อกล่าวหาของ Polyanin ที่เหมือนกับ Vasinskyi:
- สมรู้ร่วมคิดในการฉ้อโกงที่เกี่ยวข้องกับคอมพิวเตอร์
- สร้างความเสียหายต่อคอมพิวเตอร์ที่มีการป้องกันโดยเจตนา
- สมรู้ร่วมคิดในการฟอกเงิน
กระทรวงยุติธรรมสหรัฐฯ ใช้ความพยายามเป็นระยะเวลากว่า 5 เดือน ส่งผลให้มีการจับกุมผู้ที่มีส่วนเกี่ยวข้องกับการเรียกค่าไถ่ของ REvil ransomware ไปทั้งหมด 7 ราย
เมื่อวันที่ 4 พฤศจิกายน เจ้าหน้าที่ในโรมาเนียได้จับกุมผู้ต้องหาที่มีส่วนเกี่ยวข้องกับ REvil ransomware สองราย ผู้ที่มีส่วนเกี่ยวข้องกับ GandCrab ถูกจับกุมในวันเดียวกันในคูเวต และอีกสามคนถูกจับกุมในเดือนกุมภาพันธ์ เมษายน และตุลาคม
"การจับกุม Yaroslav Vasinskyi กับผู้ต้องหา Yevgeniy Polyanin และการยึดทรัพย์สินมูลค่า 6.1 ล้านดอลลาร์ รวมถึงการจับกุมตัวผู้ที่ใช้ Sodinokibi/REvil อีกสองคนในโรมาเนียถือเป็นสุดยอดของความร่วมมืออย่างใกล้ชิดของรัฐบาลระหว่างประเทศ รัฐบาลสหรัฐฯ และโดยเฉพาะอย่างยิ่งกลุ่มหุ้นส่วนภาคเอกชนของเรา ” - ผู้อำนวยการ FBI คริสโตเฟอร์ เรย์กล่าว
การจับกุมบริษัทในเครือ REvil ครั้งนี้ประสบความสำเร็จเนื่องจากความพยายามของพนักงานสอบสวน และอัยการจากเขตอํานาจศาลหลายแห่ง:
- ตำรวจแห่งชาติของโรมาเนีย และผู้อำนวยการสอบสวนกลุ่มอาชญากร และการก่อการร้าย
- ตำรวจม้าของประเทศแคนาดา(RCMP)
- ศาลปารีสของประเทศฝรั่งเศส และ BL2C (ตำรวจหน่วยต่อต้านอาชญากรรมไซเบอร์)
- กองตำรวจแห่งชาติ (เนเธอร์แลนด์)
- สำนักงานอัยการแห่งชาติของประเทศโปแลนด์, กองกำลังรักษาชายแดน, สำนักงานความมั่นคงภายในประเทศ และกระทรวงยุติธรรม
- รัฐบาลของนอร์เวย์ และออสเตรเลีย
ที่มา : bleepingcomputer