เจ้าหน้าที่บังคับใช้กฎหมายอายัดเงินคริปโตเคอเรนซีทางอาญามูลค่ากว่า 41 ล้านยูโร (ประมาณ 47 ล้านดอลลาร์สหรัฐ) ซึ่งเป็นส่วนหนึ่งของปฏิบัติการ Endgame โดย Europol ประกาศเมื่อวันพุธที่ผ่านมา ปฏิบัติการระยะเวลาสองสัปดาห์ในหลายประเทศได้รื้อถอนโครงสร้างพื้นฐานเบื้องหลังมัลแวร์สามตระกูล ได้แก่ SocGholish, Amadey และ StealC ซึ่งขโมยรหัสผ่านและข้อมูลกระเป๋าคริปโตเพื่อใช้ในการฉ้อโกงและการโจมตีด้วยแรนซัมแวร์ การโจมตีครั้งนี้มุ่งเป้าไปที่แพลตฟอร์มอาชญากรรมทางไซเบอร์แบบบริการ (cybercrime-as-a-service) ที่แอบดูดเงินจากกระเป๋าคริปโตโดยการขูดข้อมูลรับรองและคีย์ส่วนตัวจากระบบที่ติดเชื้อ
กลุ่มมัลแวร์กำหนดเป้าหมายข้อมูลรับรองกระเป๋าคริปโต
มัลแวร์ทั้งสามตระกูลกำหนดเป้าหมายผู้ใช้คริปโตโดยเฉพาะผ่านช่องทางโจมตีที่แตกต่างกัน StealC ซึ่งเป็นซอฟต์แวร์ขโมยข้อมูล (infostealer) ที่ขายเป็นบริการตั้งแต่ปี 2023 จะขูดรหัสผ่าน คุกกี้ของเบราว์เซอร์ และข้อมูลกระเป๋าคริปโตจากเครื่องที่ติดเชื้อ นักวิจัยจาก Proofpoint พบว่าแผงควบคุมของมันมีปลั๊กอินที่พยายามถอดรหัสซีดวลี (seed phrases) จากกระเป๋า MetaMask ของเหยื่อ
Amadey สร้างการเข้าถึงระบบเริ่มต้นและปรับใช้มัลแวร์เพิ่มเติม ส่วน SocGholish ซึ่งเชื่อมโยงกับกลุ่มรัสเซีย Evil Corp ทำให้ผู้ใช้ติดเชื้อผ่านข้อความแจ้งอัปเดตเบราว์เซอร์ปลอมบนเว็บไซต์ที่ถูกบุกรุก สายโซ่มัลแวร์นี้สิ้นสุดที่การดูดเงินกระเป๋า การยึดบัญชี และการปรับใช้แรนซัมแวร์
ซอฟต์แวร์ขโมยข้อมูลกลายเป็นเส้นทางหลักสู่การขโมยคริปโต โดยการแยกไฟล์กระเป๋า คีย์ส่วนตัว และซีดวลีจากอุปกรณ์ของเหยื่อ ช่องทางโจมตีรวมถึงเครื่องมือ AI ปลอม วอลล์เปเปอร์ Steam และม็อดเกมที่ละเมิดลิขสิทธิ์
ตำรวจรื้อถอนเซิร์ฟเวอร์ 326 เครื่องและกู้คืนข้อมูลประจำตัว 27 ล้านชุด
ปฏิบัติการดังกล่าวรื้อถอนเซิร์ฟเวอร์ 326 เครื่องและโดเมน 142 แห่ง ตำรวจกู้คืนข้อมูลประจำตัวที่ถูกขโมยเกือบ 27 ล้านชุดจากระบบที่ถูกบุกรุกมากกว่า 385,000 ระบบ และล้างข้อมูลเว็บไซต์ที่ติดเชื้อเกือบ 15,000 แห่ง ซึ่งหลายแห่งเป็นธุรกิจขนาดเล็ก
Microsoft ซึ่งเป็นพันธมิตรในปฏิบัติการนี้ เชื่อมโยง Amadey และ StealC กับคอมพิวเตอร์ที่ติดเชื้อมากกว่า 140,000 เครื่องทั่วโลกในช่วงสองสัปดาห์แรกของเดือนพฤษภาคมเพียงเดือนเดียว ปฏิบัติการ Endgame ก่อนหน้านี้ในช่วงปลายปีที่แล้วพบข้อมูลการเข้าสู่ระบบของกระเป๋าคริปโตมากกว่า 100,000 ใบที่ถูกขโมยจากเหยื่อแต่ยังไม่ถูกเทออก
Microsoft ยื่นฟ้องคดี RICO ต่อผู้ดำเนินการมัลแวร์
หน่วยอาชญากรรมดิจิทัลของ Microsoft ยื่นฟ้องคดีฉ้อโกง (racketeering) ในสหรัฐอเมริกา โดยถือว่ามัลแวร์สองตระกูลเป็นการสมคบคิดทางอาญาเพียงครั้งเดียว การใช้เครื่องมือ AI รวมถึง Copilot ในการวิเคราะห์มัลแวร์ นักสืบพบว่า Amadey และ StealC แม้จะสร้างโดยอาชญากรคนละกลุ่ม แต่ทำงานบนโครงสร้างพื้นฐานร่วมกัน
การดำเนินการทางกฎหมายนี้ทำให้ Microsoft สามารถดำเนินคดีกับผู้สนับสนุนในทั้งสองปฏิบัติการภายใต้กฎหมาย RICO และปิดกั้นเซิร์ฟเวอร์ควบคุมและสั่งการมากกว่า 200 เครื่อง บริษัทระบุคอมพิวเตอร์เหยื่อกว่า 18,000 เครื่องและเริ่มตัดการควบคุมของผู้โจมตี
การแจ้งเตือนเหยื่อส่งผ่านบริการ Have I Been Pwned
Europol และพันธมิตรกำลังส่งการแจ้งเตือนเหยื่อผ่านบริการอย่าง Have I Been Pwned ทำให้ผู้ใช้สามารถตรวจสอบว่าข้อมูลรับรองและคีย์กระเป๋าคริปโตของตนตกไปอยู่ในมืออาชญากรหรือไม่ ผู้ดำเนินการ StealC ได้เผยแพร่มัลแวร์รุ่นใหม่ล่าสุดเมื่อเดือนนี้เอง
คำถามที่พบบ่อย
Europol ประกาศอะไรในวันพุธเกี่ยวกับปฏิบัติการ Endgame?
Europol ประกาศว่าเจ้าหน้าที่บังคับใช้กฎหมายอายัดเงินคริปโตเคอเรนซีทางอาญามูลค่ากว่า 41 ล้านยูโร (47 ล้านดอลลาร์สหรัฐ) และรื้อถอนโครงสร้างพื้นฐานเบื้องหลังมัลแวร์สามตระกูล ได้แก่ SocGholish, Amadey และ StealC ในระหว่างปฏิบัติการระยะเวลาสองสัปดาห์ในหลายประเทศ
ตำรวจยึดเซิร์ฟเวอร์และข้อมูลประจำตัวได้กี่รายการในการรื้อถอนปฏิบัติการ Endgame?
ตำรวจรื้อถอนเซิร์ฟเวอร์ 326 เครื่องและโดเมน 142 แห่ง กู้คืนข้อมูลประจำตัวที่ถูกขโมยเกือบ 27 ล้านชุดจากระบบที่ถูกบุกรุกมากกว่า 385,000 ระบบ และล้างข้อมูลเว็บไซต์ที่ติดเชื้อเกือบ 15,000 แห่งในระหว่างปฏิบัติการ
