- 21,296
- 46
- 8 Ноя 2022
Ликвидация Hive, изъятие систем ALPHV и другие победы полиции над злом в прошедшем году.
В 2023 году мы стали свидетелями многочисленных операций правоохранительных органов, направленных на борьбу с киберпреступностью, включая мошенничество с криптовалютой, фишинговые атаки, кражу учетных данных, разработку вредоносного ПО и атаки программ-вымогателей.
Хотя некоторые из этих операций были более успешными, чем другие, правоохранительные органы все чаще используют тактику взлома, чтобы проникнуть в инфраструктуру преступников и отследить их деятельность.
Ниже представлен список самых крупных операций в хронологическом порядке.
<h3> Работа программы-вымогателя Hive прекращена после взлома ФБР систем группы </h3> Министерство юстиции США и Европол объявили, что агенты в ходе международной операции правоохранительных органов тайно проникли в инфраструктуру группировки Hive в июле 2022 года, когда они начали тайно следить за киберпреступниками в течение 6 месяцев.
В январе 2023 года ФБР конфисковало сайты Tor, предназначенные для оплаты и утечки данных программы-вымогателя Hive. Предположительно, участники группы переименовались в Hunters International после небольшого перерыва в работе.
<h3> Полиция взломала «защищенную» платформу сообщений Exclu, чтобы следить за преступниками </h3> Расследование в отношении Exclu началось в 2020 году полицией Германии после ликвидации немецкого интернет-провайдера «CyberBunker» или «CB3ROB», который обслуживал некоторые преступные сайты в Интернете, включая The Pirate Bay и Exclu. В ходе операции полиция провела 79 целевых обысков в Нидерландах, Германии и Бельгии и арестовала 42 человека.
<h3> Вымогатели DoppelPaymer стали жертвами операции Европола </h3> В ходе операции Европола были проведены обыски в домах предполагаемых ключевых участников банды вымогателей DoppelPaymer.
<h3> Полиция конфисковала инфраструктуру трояна Netwire и арестовала администратора </h3> Международная правоохранительная операция с участием ФБР и полицейских агентств по всему миру привела к аресту подозреваемого, который предположительно управлял веб-сайтом, в течение нескольких лет продающим троян удаленного доступа NetWire (Remote Access Trojan, RAT). В ходе операции также были конфискованы домен и хост-сервера сервиса.
NetWire представлял собой RAT-троян, рекламируемый как легитимный инструмент удаленного администрирования для Windows. По крайней мере, с 2014 года NetWire стал предпочтительным инструментом для различных вредоносных действий, включая фишинг, BEC-атаки и взлом корпоративных сетей.
<h3> Великобритания создала сайты DDoS -услуг для выявления киберпреступников </h3> В рамках операции PowerOFF правоохранительные органы Великобритании создали несколько поддельных веб-сайтов «DDoS на заказ» (DDoS-for-hire) для выявления киберпреступников, которые используют такие платформы для атак на организации.
Несколько тысяч человек получили доступ к поддельным сайтам, которые имитировали настоящий сервис для DDoS. Однако вместо предоставления доступа к инструментам DDoS-атак сайты собирали информации о желающих воспользоваться подобными услугами.
<h3> США конфисковали $112 млн у мошенников, занимающихся инвестициями в криптовалюту </h3> Министерство юстиции США конфисковало 6 счетов в виртуальной валюте, на которых находились средства на сумму более $112 млн, украденные в рамках схем инвестирования в криптовалюту. Министерство юстиции заявило, что всем жертвам будет возвращена украденная криптовалюта.
Мошенники в рамках схемы Pig Butchering обращаются к своим жертвам через сайты знакомств, мессенджеры или соцсети, завоевывают доверие и знакомят их с инвестиционными схемами, которые в конечном итоге позволяют опустошить криптокошельки целей.
<h3> Захват маркетплейса украденных учетных данных Genesis Market в ходе операции Cookie Monster </h3> Домены и инфраструктура Genesis Market, одной из самых популярных торговых площадок для украденных учетных данных всех типов, были конфискованы правоохранительными органами в рамках операции Cookie Monster.
Полная база данных Genesis Market насчитывала 1,5 миллиона ботов, предоставляющих более 2 миллионов идентификационных данных. На момент удаления в продаже было более 460 000 ботов. В общей сложности платформа предложила около 80 миллионов учетных данных и цифровых отпечатков (fingerprint).
<h3> Аресты 288 продавцов и покупателей наркотиков в даркнете </h3> Международная операция правоохранительных органов под кодовым названием «SpecTor» привела к арестам 288 поставщиков и их клиентов по всему миру, при этом полиция конфисковала €50,8 млн. ($55,9 млн.) наличными и криптовалютой.
Продавцы действовали на рынке, известном как «Monopoly Market», где продавались запрещенные вещества покупателям по всему миру в обмен на биткойны и криптовалюту Monero. Кроме того, 33-летний гражданин Хорватии и Сербии Миломир Десница, обвинялся в создании и управлении Monopoly Market, на продаже наркотиков заработал около $18 млн. В суде он получил пожизненный срок.
<h3> ФБР конфисковало 9 криптобирж, используемых для отмывания выкупов жертв программ-вымогателей </h3> В ходе операции было заблокировано 9 криптовалютных бирж, которые способствовали отмыванию денег киберпреступниками, включая операторов программ-вымогателей. Биржи пользовались спросом среди преступников, поскольку площадки не имели какого-либо ограничения для отмывания денег и собирали либо минимальную информацию о клиентах, либо вообще не собирали ее.
<h3> ФБР конфисковала BreachForums после ареста владельца форума Помпомпурина </h3> Правоохранительные органы США конфисковали домен пресловутого хакерского форума BreachForums (Breached) через 3 месяца после задержания его владельца Конора Фицпатрика (Pompompurin) по обвинению в киберпреступлениях.
<h3> Взлом EncroChat привел к более 6 600 арестам и конфискации $979 млн. </h3> По данным Европола, закрытие EncroChat в июле 2020 года привело к 6558 арестам по всему миру и конфискации €900 млн. незаконных доходов от преступной деятельности. На телефонах EncroChat работала специальная, усиленная версия Android, которая обещала пользователям надежное шифрование, анонимность и невозможность отслеживания.
В 2020 году европейские правоохранительные органы незаметно проникли на платформу EncroChat и смогли проанализировать миллионы сообщений, которыми обмениваются ее пользователи, после взлома алгоритма шифрования.
Проанализировав 15 миллионов разговоров между примерно 60 000 пользователями платформы, полиция арестовала 6 558 пользователей EncroChat, в том числе 197 особо важных лиц. Полученные данные также позволили полиции обнаружить и конфисковать 270 тонн наркотиков, почти 1000 автомобилей, сотни объектов недвижимости, а также оружие, взрывчатку, самолеты и лодки.
<h3> Ботнет Qakbot ликвидирован после заражения более 700 000 компьютеров </h3> ФБР разрушило инфраструктуру ботнета Qakbot (Qbot) и выпустила средство удаления вредоносного ПО с зараженных устройств.
По самым скромным оценкам, ботнет был связан как минимум с 40 атаками программ-вымогателей на компании, медицинские учреждения и правительственные учреждения по всему миру, нанеся ущерб в сотни миллионов долларов. Только за последние 18 месяцев убытки превысили $58 млн.
На протяжении многих лет Qakbot последовательно служил первоначальным вектором заражения для различных группировок вымогателей. Однако успех операции правоохранительных органов может быть недолгим, поскольку уже стало известно, что QakBot восстанавливает свой ботнет.
<h3> Полиция раскрыла группировку, стоящую за вымогательскими атаками в 71 стране </h3> В совместной операции с Европолом правоохранительные органы из 7 стран арестовали ключевых членов киберпреступной группы, занимающейся распространением программ-вымогателей и ответственной за атаки на различные организации в 71 стране. Члены этой преступной сети выполняли самые разные роли, включая взлом IT-сетей и отмывание криптовалюты.
<h3> ФБР прекратило работу программы-вымогателя Blackcat и создало инструмент для дешифрования </h3> Благодаря получению доступа к инфраструктуре ALPHV , ФБР в течение нескольких месяцев следило за работой программы-вымогателя, перекачивая ключи дешифрования и передавая их жертвам.
<h3> 3500 арестов в 34 странах: Интерпол ликвидировал международную сеть онлайн-мошенников </h3> Международная операция правоохранительных органов «Operation HAECHI IV» по борьбе с финансовыми преступлениями в интернете привела к аресту почти 3 500 человек и конфискации активов на сумму $300 млн. в 34 странах. В шестимесячной операции участвовали страны Азии, Африки, Европы, Северной Америки и Океании.
Целью операции была борьба с семью видами кибермошенничества – голосовой фишинг ( вишинг ), романтические аферы ( romance scam ), вымогательство, мошенничество с инвестициями, отмывание денег, связанных с незаконными азартными онлайн-играми, мошенничество с компрометацией деловой электронной почты (Business Email Compromise, BEC), мошенничество в электронной коммерции.
<h3> Немецкая полиция закрыла даркнет-рынок Kingdom Market </h3> Немецкие правоохранительные органы провели успешную операцию по изъятию серверов даркнет-рынка Kingdom Market, известного продажами наркотиков, вредоносного ПО, поддельных документов и других инструментов для киберпреступников.
В настоящее время ведётся анализ серверной инфраструктуры Kingdom Market для установления личностей, стоящих за работой сайта. Полиция сообщает, что на рынке было выставлено на продажу 42 000 товаров, 3 600 из которых были из Германии.
В 2023 году мы стали свидетелями многочисленных операций правоохранительных органов, направленных на борьбу с киберпреступностью, включая мошенничество с криптовалютой, фишинговые атаки, кражу учетных данных, разработку вредоносного ПО и атаки программ-вымогателей.
Хотя некоторые из этих операций были более успешными, чем другие, правоохранительные органы все чаще используют тактику взлома, чтобы проникнуть в инфраструктуру преступников и отследить их деятельность.
Ниже представлен список самых крупных операций в хронологическом порядке.
<h3> Работа программы-вымогателя Hive прекращена после взлома ФБР систем группы </h3> Министерство юстиции США и Европол объявили, что агенты в ходе международной операции правоохранительных органов тайно проникли в инфраструктуру группировки Hive в июле 2022 года, когда они начали тайно следить за киберпреступниками в течение 6 месяцев.
В январе 2023 года ФБР конфисковало сайты Tor, предназначенные для оплаты и утечки данных программы-вымогателя Hive. Предположительно, участники группы переименовались в Hunters International после небольшого перерыва в работе.
<h3> Полиция взломала «защищенную» платформу сообщений Exclu, чтобы следить за преступниками </h3> Расследование в отношении Exclu началось в 2020 году полицией Германии после ликвидации немецкого интернет-провайдера «CyberBunker» или «CB3ROB», который обслуживал некоторые преступные сайты в Интернете, включая The Pirate Bay и Exclu. В ходе операции полиция провела 79 целевых обысков в Нидерландах, Германии и Бельгии и арестовала 42 человека.
<h3> Вымогатели DoppelPaymer стали жертвами операции Европола </h3> В ходе операции Европола были проведены обыски в домах предполагаемых ключевых участников банды вымогателей DoppelPaymer.
<h3> Полиция конфисковала инфраструктуру трояна Netwire и арестовала администратора </h3> Международная правоохранительная операция с участием ФБР и полицейских агентств по всему миру привела к аресту подозреваемого, который предположительно управлял веб-сайтом, в течение нескольких лет продающим троян удаленного доступа NetWire (Remote Access Trojan, RAT). В ходе операции также были конфискованы домен и хост-сервера сервиса.
NetWire представлял собой RAT-троян, рекламируемый как легитимный инструмент удаленного администрирования для Windows. По крайней мере, с 2014 года NetWire стал предпочтительным инструментом для различных вредоносных действий, включая фишинг, BEC-атаки и взлом корпоративных сетей.
<h3> Великобритания создала сайты DDoS -услуг для выявления киберпреступников </h3> В рамках операции PowerOFF правоохранительные органы Великобритании создали несколько поддельных веб-сайтов «DDoS на заказ» (DDoS-for-hire) для выявления киберпреступников, которые используют такие платформы для атак на организации.
Несколько тысяч человек получили доступ к поддельным сайтам, которые имитировали настоящий сервис для DDoS. Однако вместо предоставления доступа к инструментам DDoS-атак сайты собирали информации о желающих воспользоваться подобными услугами.
<h3> США конфисковали $112 млн у мошенников, занимающихся инвестициями в криптовалюту </h3> Министерство юстиции США конфисковало 6 счетов в виртуальной валюте, на которых находились средства на сумму более $112 млн, украденные в рамках схем инвестирования в криптовалюту. Министерство юстиции заявило, что всем жертвам будет возвращена украденная криптовалюта.
Мошенники в рамках схемы Pig Butchering обращаются к своим жертвам через сайты знакомств, мессенджеры или соцсети, завоевывают доверие и знакомят их с инвестиционными схемами, которые в конечном итоге позволяют опустошить криптокошельки целей.
<h3> Захват маркетплейса украденных учетных данных Genesis Market в ходе операции Cookie Monster </h3> Домены и инфраструктура Genesis Market, одной из самых популярных торговых площадок для украденных учетных данных всех типов, были конфискованы правоохранительными органами в рамках операции Cookie Monster.
Полная база данных Genesis Market насчитывала 1,5 миллиона ботов, предоставляющих более 2 миллионов идентификационных данных. На момент удаления в продаже было более 460 000 ботов. В общей сложности платформа предложила около 80 миллионов учетных данных и цифровых отпечатков (fingerprint).
<h3> Аресты 288 продавцов и покупателей наркотиков в даркнете </h3> Международная операция правоохранительных органов под кодовым названием «SpecTor» привела к арестам 288 поставщиков и их клиентов по всему миру, при этом полиция конфисковала €50,8 млн. ($55,9 млн.) наличными и криптовалютой.
Продавцы действовали на рынке, известном как «Monopoly Market», где продавались запрещенные вещества покупателям по всему миру в обмен на биткойны и криптовалюту Monero. Кроме того, 33-летний гражданин Хорватии и Сербии Миломир Десница, обвинялся в создании и управлении Monopoly Market, на продаже наркотиков заработал около $18 млн. В суде он получил пожизненный срок.
<h3> ФБР конфисковало 9 криптобирж, используемых для отмывания выкупов жертв программ-вымогателей </h3> В ходе операции было заблокировано 9 криптовалютных бирж, которые способствовали отмыванию денег киберпреступниками, включая операторов программ-вымогателей. Биржи пользовались спросом среди преступников, поскольку площадки не имели какого-либо ограничения для отмывания денег и собирали либо минимальную информацию о клиентах, либо вообще не собирали ее.
<h3> ФБР конфисковала BreachForums после ареста владельца форума Помпомпурина </h3> Правоохранительные органы США конфисковали домен пресловутого хакерского форума BreachForums (Breached) через 3 месяца после задержания его владельца Конора Фицпатрика (Pompompurin) по обвинению в киберпреступлениях.
<h3> Взлом EncroChat привел к более 6 600 арестам и конфискации $979 млн. </h3> По данным Европола, закрытие EncroChat в июле 2020 года привело к 6558 арестам по всему миру и конфискации €900 млн. незаконных доходов от преступной деятельности. На телефонах EncroChat работала специальная, усиленная версия Android, которая обещала пользователям надежное шифрование, анонимность и невозможность отслеживания.
В 2020 году европейские правоохранительные органы незаметно проникли на платформу EncroChat и смогли проанализировать миллионы сообщений, которыми обмениваются ее пользователи, после взлома алгоритма шифрования.
Проанализировав 15 миллионов разговоров между примерно 60 000 пользователями платформы, полиция арестовала 6 558 пользователей EncroChat, в том числе 197 особо важных лиц. Полученные данные также позволили полиции обнаружить и конфисковать 270 тонн наркотиков, почти 1000 автомобилей, сотни объектов недвижимости, а также оружие, взрывчатку, самолеты и лодки.
<h3> Ботнет Qakbot ликвидирован после заражения более 700 000 компьютеров </h3> ФБР разрушило инфраструктуру ботнета Qakbot (Qbot) и выпустила средство удаления вредоносного ПО с зараженных устройств.
По самым скромным оценкам, ботнет был связан как минимум с 40 атаками программ-вымогателей на компании, медицинские учреждения и правительственные учреждения по всему миру, нанеся ущерб в сотни миллионов долларов. Только за последние 18 месяцев убытки превысили $58 млн.
На протяжении многих лет Qakbot последовательно служил первоначальным вектором заражения для различных группировок вымогателей. Однако успех операции правоохранительных органов может быть недолгим, поскольку уже стало известно, что QakBot восстанавливает свой ботнет.
<h3> Полиция раскрыла группировку, стоящую за вымогательскими атаками в 71 стране </h3> В совместной операции с Европолом правоохранительные органы из 7 стран арестовали ключевых членов киберпреступной группы, занимающейся распространением программ-вымогателей и ответственной за атаки на различные организации в 71 стране. Члены этой преступной сети выполняли самые разные роли, включая взлом IT-сетей и отмывание криптовалюты.
<h3> ФБР прекратило работу программы-вымогателя Blackcat и создало инструмент для дешифрования </h3> Благодаря получению доступа к инфраструктуре ALPHV , ФБР в течение нескольких месяцев следило за работой программы-вымогателя, перекачивая ключи дешифрования и передавая их жертвам.
<h3> 3500 арестов в 34 странах: Интерпол ликвидировал международную сеть онлайн-мошенников </h3> Международная операция правоохранительных органов «Operation HAECHI IV» по борьбе с финансовыми преступлениями в интернете привела к аресту почти 3 500 человек и конфискации активов на сумму $300 млн. в 34 странах. В шестимесячной операции участвовали страны Азии, Африки, Европы, Северной Америки и Океании.
Целью операции была борьба с семью видами кибермошенничества – голосовой фишинг ( вишинг ), романтические аферы ( romance scam ), вымогательство, мошенничество с инвестициями, отмывание денег, связанных с незаконными азартными онлайн-играми, мошенничество с компрометацией деловой электронной почты (Business Email Compromise, BEC), мошенничество в электронной коммерции.
<h3> Немецкая полиция закрыла даркнет-рынок Kingdom Market </h3> Немецкие правоохранительные органы провели успешную операцию по изъятию серверов даркнет-рынка Kingdom Market, известного продажами наркотиков, вредоносного ПО, поддельных документов и других инструментов для киберпреступников.
В настоящее время ведётся анализ серверной инфраструктуры Kingdom Market для установления личностей, стоящих за работой сайта. Полиция сообщает, что на рынке было выставлено на продажу 42 000 товаров, 3 600 из которых были из Германии.
- Источник новости
- www.securitylab.ru
