От Hive до Genesis: 7 киберопераций, которые победили преступность в 2023 году

В 2023 году мы стали свидетелями многочисленных операций правоохранительных органов, направленных на борьбу с киберпреступностью, включая мошенничество с криптовалютой, фишинговые атаки, кражу учетных данных, разработку вредоносного ПО и атаки программ-вымогателей.

Хотя некоторые из этих операций были более успешными, чем другие, правоохранительные органы все чаще используют тактику взлома, чтобы проникнуть в инфраструктуру преступников и отследить их деятельность.

Ниже представлен список самых крупных операций в хронологическом порядке.

Работа программы-вымогателя Hive прекращена после взлома ФБР систем группы

Министерство юстиции США и Европол объявили, что агенты в ходе международной операции правоохранительных органов тайно проникли в инфраструктуру группировки Hive в июле 2022 года, когда они начали тайно следить за киберпреступниками в течение 6 месяцев.

В январе 2023 года ФБР конфисковало сайты Tor, предназначенные для оплаты и утечки данных программы-вымогателя Hive. Предположительно, участники группы переименовались в Hunters International после небольшого перерыва в работе.

Полиция взломала «защищенную» платформу сообщений Exclu, чтобы следить за преступниками

Расследование в отношении Exclu началось в 2020 году полицией Германии после ликвидации немецкого интернет-провайдера «CyberBunker» или «CB3ROB», который обслуживал некоторые преступные сайты в Интернете, включая The Pirate Bay и Exclu. В ходе операции полиция провела 79 целевых обысков в Нидерландах, Германии и Бельгии и арестовала 42 человека.

Вымогатели DoppelPaymer стали жертвами операции Европола

В ходе операции Европола были проведены обыски в домах предполагаемых ключевых участников банды вымогателей DoppelPaymer.

Полиция конфисковала инфраструктуру трояна Netwire и арестовала администратора

Международная правоохранительная операция с участием ФБР и полицейских агентств по всему миру привела к аресту подозреваемого, который предположительно управлял веб-сайтом, в течение нескольких лет продающим троян удаленного доступа NetWire (Remote Access Trojan, RAT). В ходе операции также были конфискованы домен и хост-сервера сервиса.

NetWire представлял собой RAT-троян, рекламируемый как легитимный инструмент удаленного администрирования для Windows. По крайней мере, с 2014 года NetWire стал предпочтительным инструментом для различных вредоносных действий, включая фишинг, BEC-атаки и взлом корпоративных сетей.

Великобритания создала сайты DDoS-услуг для выявления киберпреступников

В рамках операции PowerOFF правоохранительные органы Великобритании создали несколько поддельных веб-сайтов «DDoS на заказ» (DDoS-for-hire) для выявления киберпреступников, которые используют такие платформы для атак на организации.

Несколько тысяч человек получили доступ к поддельным сайтам, которые имитировали настоящий сервис для DDoS. Однако вместо предоставления доступа к инструментам DDoS-атак сайты собирали информации о желающих воспользоваться подобными услугами.

США конфисковали $112 млн у мошенников, занимающихся инвестициями в криптовалюту

Министерство юстиции США конфисковало 6 счетов в виртуальной валюте, на которых находились средства на сумму более $112 млн, украденные в рамках схем инвестирования в криптовалюту. Министерство юстиции заявило, что всем жертвам будет возвращена украденная криптовалюта.

Мошенники в рамках схемы Pig Butchering обращаются к своим жертвам через сайты знакомств, мессенджеры или соцсети, завоевывают доверие и знакомят их с инвестиционными схемами, которые в конечном итоге позволяют опустошить криптокошельки целей.

Захват маркетплейса украденных учетных данных Genesis Market в ходе операции Cookie Monster

Домены и инфраструктура Genesis Market, одной из самых популярных торговых площадок для украденных учетных данных всех типов, были конфискованы правоохранительными органами в рамках операции Cookie Monster.

Полная база данных Genesis Market насчитывала 1,5 миллиона ботов, предоставляющих более 2 миллионов идентификационных данных. На момент удаления в продаже было более 460 000 ботов. В общей сложности платформа предложила около 80 миллионов учетных данных и цифровых отпечатков (fingerprint).

Аресты 288 продавцов и покупателей наркотиков в даркнете

Международная операция правоохранительных органов под кодовым названием «SpecTor» привела к арестам 288 поставщиков и их клиентов по всему миру, при этом полиция конфисковала €50,8 млн. ($55,9 млн.) наличными и криптовалютой.

Продавцы действовали на рынке, известном как «Monopoly Market», где продавались запрещенные вещества покупателям по всему миру в обмен на биткойны и криптовалюту Monero. Кроме того, 33-летний гражданин Хорватии и Сербии Миломир Десница, обвинялся в создании и управлении Monopoly Market, на продаже наркотиков заработал около $18 млн. В суде он получил пожизненный срок.

ФБР конфисковало 9 криптобирж, используемых для отмывания выкупов жертв программ-вымогателей

В ходе операции было заблокировано 9 криптовалютных бирж, которые способствовали отмыванию денег киберпреступниками, включая операторов программ-вымогателей. Биржи пользовались спросом среди преступников, поскольку площадки не имели какого-либо ограничения для отмывания денег и собирали либо минимальную информацию о клиентах, либо вообще не собирали ее.

ФБР конфисковала BreachForums после ареста владельца форума Помпомпурина

Правоохранительные органы США конфисковали домен пресловутого хакерского форума BreachForums (Breached) через 3 месяца после задержания его владельца Конора Фицпатрика (Pompompurin) по обвинению в киберпреступлениях.

Взлом EncroChat привел к более 6 600 арестам и конфискации $979 млн.

По данным Европола, закрытие EncroChat в июле 2020 года привело к 6558 арестам по всему миру и конфискации €900 млн. незаконных доходов от преступной деятельности. На телефонах EncroChat работала специальная, усиленная версия Android, которая обещала пользователям надежное шифрование, анонимность и невозможность отслеживания.

В 2020 году европейские правоохранительные органы незаметно проникли на платформу EncroChat и смогли проанализировать миллионы сообщений, которыми обмениваются ее пользователи, после взлома алгоритма шифрования.

Проанализировав 15 миллионов разговоров между примерно 60 000 пользователями платформы, полиция арестовала 6 558 пользователей EncroChat, в том числе 197 особо важных лиц. Полученные данные также позволили полиции обнаружить и конфисковать 270 тонн наркотиков, почти 1000 автомобилей, сотни объектов недвижимости, а также оружие, взрывчатку, самолеты и лодки.

Ботнет Qakbot ликвидирован после заражения более 700 000 компьютеров

ФБР разрушило инфраструктуру ботнета Qakbot (Qbot) и выпустила средство удаления вредоносного ПО с зараженных устройств.

По самым скромным оценкам, ботнет был связан как минимум с 40 атаками программ-вымогателей на компании, медицинские учреждения и правительственные учреждения по всему миру, нанеся ущерб в сотни миллионов долларов. Только за последние 18 месяцев убытки превысили $58 млн.

На протяжении многих лет Qakbot последовательно служил первоначальным вектором заражения для различных группировок вымогателей. Однако успех операции правоохранительных органов может быть недолгим, поскольку уже стало известно, что QakBot восстанавливает свой ботнет.

Полиция раскрыла группировку, стоящую за вымогательскими атаками в 71 стране

В совместной операции с Европолом правоохранительные органы из 7 стран арестовали ключевых членов киберпреступной группы, занимающейся распространением программ-вымогателей и ответственной за атаки на различные организации в 71 стране. Члены этой преступной сети выполняли самые разные роли, включая взлом IT-сетей и отмывание криптовалюты.

ФБР прекратило работу программы-вымогателя Blackcat и создало инструмент для дешифрования

Благодаря получению доступа к инфраструктуре ALPHV , ФБР в течение нескольких месяцев следило за работой программы-вымогателя, перекачивая ключи дешифрования и передавая их жертвам.

3500 арестов в 34 странах: Интерпол ликвидировал международную сеть онлайн-мошенников

Международная операция правоохранительных органов «Operation HAECHI IV» по борьбе с финансовыми преступлениями в интернете привела к аресту почти 3 500 человек и конфискации активов на сумму $300 млн. в 34 странах. В шестимесячной операции участвовали страны Азии, Африки, Европы, Северной Америки и Океании.

Целью операции была борьба с семью видами кибермошенничества – голосовой фишинг (вишинг), романтические аферы (romance scam), вымогательство, мошенничество с инвестициями, отмывание денег, связанных с незаконными азартными онлайн-играми, мошенничество с компрометацией деловой электронной почты (Business Email Compromise, BEC), мошенничество в электронной коммерции.

Немецкая полиция закрыла даркнет-рынок Kingdom Market

Немецкие правоохранительные органы провели успешную операцию по изъятию серверов даркнет-рынка Kingdom Market, известного продажами наркотиков, вредоносного ПО, поддельных документов и других инструментов для киберпреступников.

В настоящее время ведётся анализ серверной инфраструктуры Kingdom Market для установления личностей, стоящих за работой сайта. Полиция сообщает, что на рынке было выставлено на продажу 42 000 товаров, 3 600 из которых были из Германии.