Государство — главный арбитр: Как власти решают, кого из хакеров сдать, а кого защитить

leer en español

Operation Endgame Conti Trickbot Recorded Future Cryptex вымогатели
Государство — главный арбитр: Как власти решают, кого из хакеров сдать, а кого защитить
Operation Endgame Conti Trickbot Recorded Future Cryptex вымогатели

Операция Endgame показала, как хакеры годами покупали неприкосновенность и что пошло не так.

image

Киберпреступная среда переживает глубокую перестройку, в которой пересекаются международное давление, внутренние политические интересы и давние связи преступных структур с государственными органами. После масштабной операции Operation Endgame, начатой в мае 2024 года и направленной против операторов программ-вымогателей, инфраструктуры для отмывания денег и сетей распространения вредоносного ПО, хакеры впервые за долгое время перешли от политики невмешательства к выборочным действиям внутри собственного киберподполья. Международные обыски и аресты, в том числе связанные с сервисами Cryptex и UAPS, стали сигналом изменения приоритетов и ответом на дипломатическое давление.

Такие события нарушили привычный баланс. Вскрытые переписки показывают, что лидеры многих вымогательских синдикатов годами поддерживали контакты со спецслужбами, предоставляя им данные, выполняя поручения или покупая неприкосновенность через коррупционные связи. После начала международной кампании доверие внутри подполья резко упало — партнеры жалуются на обманы, поддельные личности и выборочные аресты, а сами банды ужесточают проверку новых участников и переходят на закрытые, децентрализованные каналы связи, опасаясь внедрения агентов.

Параллельно разные страны ужесточают законодательство против вымогателей, вводя обязательную отчётность о выплатах и даже рассматривая полные запреты на их проведение. США, Великобритания, Австралия и Япония приняли меры, позволяющие наносить превентивные киберудары по враждебным инфраструктурам. Неслучайно освобождение некоторых киберпреступников происходило в рамках дипломатических обменов, подчёркивая их статус в геополитических переговорах.

Аналитики Recorded Future* отмечают, что власти перешли от пассивного попустительства к управляемой модели взаимодействия с подпольем. С 2023 года наблюдаются выборочные аресты и демонстративные дела, направленные не столько на ликвидацию преступных сетей, сколько на укрепление государственного контроля и создание видимости правопорядка. Против сервисов, чья деятельность вызывала международный резонанс или не имела ценности для спецслужб, возбуждаются дела, а ключевые операторы, связанные с Trickbot и Conti, остаются на свободе. Такая избирательность формирует «политику защиты», при которой финансовые посредники жертвуются ради демонстрации активности, а высокоценные кадры сохраняют неприкосновенность.

В результате структура подполья изменилась. На форумах усилились внутренние конфликты между владельцами программ-вымогателей и их партнерами, участились случаи мошенничества и краж исходного кода. Вымогательские программы RebornVC, Babuk 2.0, FunkSec и Rabbit Hole оказались подделками, созданными для обмана новичков. Чтобы снизить риски, крупные группы ужесточили правила: ввели депозитные взносы, минимальные суммы выкупа, запреты на повторные атаки и нападения на страны БРИКС. Массовый набор заменился закрытым, где решающее значение имеют репутация и национальная принадлежность.

Операция Endgame нанесла удар по инфраструктуре вымогателей, но не уничтожила её. После арестов разработчики Lumma Stealer, DanaBot и других инструментов ушли в подполье, временно прекратив деятельность, а затем возобновили её в приватных каналах. Этот маятниковый цикл — сворачивание под давлением и последующее возвращение — стал обычной стратегией выживания. Новые версии программ и блоги появляются быстрее, чем успевают завершаться расследования, при этом код часто повторяет старые сборки вроде LockBit и Dharma.

На уровне инфраструктуры ситуация повторяет ту же закономерность. После громкого дела Aeza, связанного с хостингом даркнет-площадок, на рынке появились «сервисы-беженцы», перенявшие клиентов. Часть провайдеров, включая Stark Industries и Inferno Solutions, создают зарубежные филиалы и регистрируются под подставными компаниями, сохраняя финансовые связи.

Экономический спад в вымогательском бизнесе стал очевиден: средний выкуп в 2025 году снизился почти вдвое, а количество реальных платежей продолжает падать. При этом растёт число утечек данных без шифрования, что подтверждает переход к «чистому вымогательству» без блокировки систем. Для самих преступников это снижает технические риски и упрощает переговоры, сохраняя источник дохода в условиях растущего контроля.

В целом, киберпреступность не сокращается, а перестраивается. Государства сохраняют систему взаимных обязательств с преступными сообществами. Аресты становятся инструментом регулирования, а не наказания. В этой «управляемой экосистеме» государство остаётся главным арбитром: оно решает, кого защитить, кого сдать и когда показать миру, что борьба с киберпреступностью продолжается.

* Recorded Future признана нежелательной организацией в России.