Интерпол показал даркнету, кто здесь root

Международная операция правоохранительных органов под кодовым названием Operation Secure завершилась масштабным демонтажем инфраструктуры киберпреступников, использующих вредоносное ПО для кражи данных. Об этом официально сообщил Интерпол, уточнив, что под удар попали более 20 тысяч вредоносных IP-адресов и доменов, связанных с 69 разновидностями программ-стилеров .

Координированные действия велись с января по апрель 2025 года. В них приняли участие правоохранительные органы из 26 стран, в том числе Вьетнама, Индии, Японии, Сингапура, Южной Кореи и других государств Азиатско-Тихоокеанского региона. Специалисты выявляли серверы управления, анализировали физическую сетевую инфраструктуру и проводили точечные зачистки вредоносных узлов.

В результате удалось нейтрализовать 79% из выявленных подозрительных IP-адресов, изъять 41 сервер, конфисковать свыше 100 гигабайт информации и задержать 32 человека, подозреваемых в причастности к киберпреступлениям. Самый масштабный удар нанесли правоохранители Вьетнама: там задержали 18 подозреваемых, изъяли устройства, SIM-карты, регистрационные документы компаний и около 11,5 тысяч долларов наличными. Дополнительные обыски в Шри-Ланке привели к задержанию ещё 12 человек, а в Науру — двоих.

Особо активной оказалась полиция Гонконга, обнаружившая 117 управляющих серверов, размещённых у 89 интернет-провайдеров. Эти узлы использовались для координации фишинговых кампаний , интернет-мошенничества и распространения вредоносных программ через социальные сети.

По информации Интерпола, в операции участвовали также правоохранительные органы Брунея, Камбоджи, Фиджи, Индонезии, Казахстана, Кирибати, Лаоса, Макао, Малайзии, Мальдив, Непала, Папуа — Новой Гвинеи, Филиппин, Самоа, Соломоновых Островов, Таиланда, Тимор-Лешти, Тонга и Вануату.

Инфраструктура, которую удалось ликвидировать, обслуживала работу вредоносных программ, предназначенных для кражи данных с заражённых устройств. Обычно они распространяются в формате услуги по подписке в даркнете. Такие инструменты позволяют собирать логины, пароли, куки, данные кредитных карт и криптовалютных кошельков.

Полученные сведения потом продаются в виде «логов» на киберфорумах и становятся отправной точкой для новых атак: вымогательства, компрометации корпоративной почты и вторжений в корпоративные сети. Именно такой способ работы остаётся наиболее востребованным у киберпреступников, которым важно быстро получить доступ к конфиденциальной информации.

Одним из ключевых партнёров операции стала сингапурская компания Group-IB, предоставившая критически важную информацию о взломанных учётных записях, пострадавших от таких стилеров, как Lumma, RisePro и Meta Stealer. По словам её генерального директора Дмитрия Волкова, именно такие данные становятся исходной точкой для дальнейших мошеннических действий и атак с использованием шифровальщиков.

Операция состоялась спустя всего несколько недель после аналогичного глобального рейда, в ходе которого были конфискованы более 2300 доменов, связанных с вредоносным ПО Lumma Stealer. Подобные мероприятия становятся всё более важным инструментом борьбы с масштабными кибер угрозами , исходящими из криминального цифрового подполья.