Эксперт по программам-вымогателям высоко оценил недавние меры по борьбе с киберпреступниками в Африке, которые привели к расшифровке шести разновидностей программ-вымогателей, уничтожению ссылок на вредоносные веб-сайты и сотням арестов, назвав это важным шагом.
«Возможно, это не тот же заголовок, что и уничтожение LockBit, но я думаю, что это важно», — сказал Джон ДиМаджио, главный стратег по безопасности Analyst1 и соавтор готовящейся к выходу книги о преследовании банд, занимающихся программами-вымогателями. «Поскольку правоохранительные органы не могут арестовать российских киберпреступников, занимающихся вымогательством, разумно сосредоточиться на тех регионах мира, где мы можем изменить ситуацию и поймать людей».
Он комментировал заявление Интерпола о том, что в ходе операции «Страж», проводившейся с 27 октября по 27 ноября этого года, правоохранительные органы в 19 африканских странах арестовали 574 подозреваемых, расшифровали шесть вариантов программ-вымогателей, удалили 6000 вредоносных ссылок, раскрыли мошенническую схему компрометации деловой электронной почты, которая чуть не стоила крупной нефтяной компании 7,9 миллиона долларов, и вернули около 3 миллионов долларов.
Интерпол не назвал расшифрованные типы программ-вымогателей. ДиМаджио подозревает, что это были модифицированные варианты, доступные на сайтах даркнета.
Важно остановить банды до того, как они расширятся
Описывая операцию, Интерпол упомянул об усилиях в нескольких странах. В Гане, по его словам, одной из жертв стало неназванное финансовое учреждение, у которого было зашифровано 100 ТБ данных. Власти Ганы провели углубленный анализ вредоносного ПО, который привел к созданию инструмента дешифрования и восстановлению почти 30 ТБ данных.
Власти Ганы также ликвидировали крупную сеть кибермошенничества, действовавшую в Гане и Нигерии, которая обманула более 200 жертв на сумму более 400 000 долларов. Используя профессионально разработанные веб-сайты и мобильные приложения, мошенники имитировали известные бренды быстрого питания, собирая платежи, но так и не доставляя заказы. В Гане было арестовано десять подозреваемых, изъято более 100 цифровых устройств и отключено 30 мошеннических серверов.
В Бенине было удалено 43 вредоносных домена и закрыто 4318 учетных записей в социальных сетях, связанных со схемами вымогательства и мошенничества, что привело к 106 арестам. А в Камеруне правоохранительные органы быстро отреагировали после того, как две жертвы сообщили о мошенничестве с использованием онлайн-платформы по продаже автомобилей. Кампания фишинга была отслежена до скомпрометированного сервера, и в течение нескольких часов была выдана экстренная заморозка банковского счета.
«Очень хорошо»
Тот факт, что в ходе одной и той же операции были пресечены действия программ-вымогателей и операции по компрометации деловой электронной почты (BEC), является «уникальным», сказал ДиМаджио, поскольку большинство людей считают Африку источником BEC и мошеннических схем.
Тот факт, что власти работают над пресечением операций с программами-вымогателями в Африке до того, как они вырастут до размеров банд в других регионах мира, «это очень хорошо», — сказал он. Африка «на несколько шагов отстает от российской сцены программ-вымогателей», поэтому важно нацелиться на банды там сейчас, пока они не стали больше, сказал он.
Пресечение операций BEC также может быть значительным, добавил он, потому что в совокупности мошенники во всем мире получают больше денег от мошенничества с деловой электронной почтой, чем от программ-вымогателей, сказал ДиМаджио.
Связанный контент: Обновление RansomHouse
Операция «Страж» — вторая крупная операция по борьбе с киберпреступностью в Африке в этом году. В августе Интерпол объявил о втором этапе операции «Серенгети», в результате которой было арестовано 1209 человек, ликвидировано более 11 400 вредоносных ИТ-инфраструктур и возвращено чуть более 97 миллионов долларов. Эта операция также касалась киберпреступлений с серьезными последствиями, включая программы-вымогатели, онлайн-мошенничество и мошенничество с использованием BEC.
Другие правоохранительные меры
Эти операции были одними из значительных шагов против злоумышленников во всем мире в 2025 году.
Операция «Эндшпиль», продолжающаяся международная операция по борьбе с ботнетами, координируемая Европолом, преследовала злоумышленников, подписавшихся на ботнет Smokeloader с оплатой за установку, уничтожила около 300 серверов, стоящих за вредоносным ПО, используемым для распространения программ-вымогателей, и в ноябре уничтожила или вывела из строя 1025 серверов, включая ботнет Elysium, обеспечивающий работу Rhadamanthys infostealer и VenomRAT remote access trojan.
Отдельно власти США, Финляндии и Нидерландов объединились, чтобы закрыть AVCheck, одну из крупнейших контр-антивирусных служб, используемых преступниками во всем мире.
Кроме того, разведывательная группа Five Eyes, состоящая из США, Великобритании, Канады, Австралии и Новой Зеландии, обвинила Китай в поддержке злоумышленников, которые атакуют критически важную инфраструктуру в ряде стран, а Microsoft получила судебный приказ, позволяющий ей захватить и заблокировать 2300 доменов, стоящих за распространением другого похитителя информации, Lumma Stealer.
Связанный контент: Создайте эффективный сценарий действий при атаке программ-вымогателей
Трудная борьба
Эд Дубровский, главный операционный директор фирмы по реагированию на инциденты Cypfer, сказал, что пресечение деятельности шести видов программ-вымогателей — хорошая новость. Но, добавил он, индустрия киберпреступности сейчас больше, чем когда-либо, сосредоточена на краже данных, а не на шифровании данных, а в некоторых случаях — на уничтожении данных после кражи.
«Действия правоохранительных органов против киберпреступности имеют решающее значение, — добавил он. — Без определенного уровня сдерживания и, учитывая выгоду с финансовой [точки зрения] и другие мотивы, киберпреступность была бы гораздо более распространенной и действенной.
При этом киберпреступность по-прежнему является многомиллиардным рынком, и правоохранительные органы страдают от ограниченных ресурсов и надлежащей постоянной подготовки. Некоторые страны, такие как США, намного опережают другие с точки зрения изощренности и эффективности… Правоохранительные органы эффективны, частично, и в очень специфических областях киберпреступности, а в других областях эффективность все еще находится в стадии разработки».
Некоторые злоумышленники обладают большим опытом в области ИТ, добавил он, и используют преимущества ИИ. «Поэтому я считаю, что правоохранительные органы добиваются больших успехов в сокращении киберпреступности, одновременно ведя тяжелую борьбу».
Злоумышленники, вероятно, расширят свои усилия по всему миру
Кристиан Лойпрехт, профессор канадского университета и эксперт по национальной безопасности, киберпреступности и отмыванию денег, отметил, что население Африки удвоится в ближайшие 25 лет, и она имеет самую молодую структуру населения среди всех континентов. Сочетание высоко инновационной и все более квалифицированной рабочей силы в некоторых из наиболее политически, экономически и социально неустойчивых стран мира, вероятно, породит множество изощренных местных злоумышленников, стремящихся к экономическому выживанию и процветанию, с потенциально глобальным охватом.
Пока, по его словам, они нацелены на местные цели, вероятно, потому, что они менее устойчивы к атакам и эксплуатации. Но по мере того, как местные фирмы укрепляют свою киберзащиту, эти африканские злоумышленники обязательно расширят свои операции в глобальном масштабе.
Более масштабные, качественные и упреждающие местные возможности по пресечению и обеспечению соблюдения законов против этих злоумышленников имеют решающее значение для предотвращения их выхода на глобальный уровень, сказал он.
«Масштабы и сложность кибератак в Африке растут, особенно в отношении критически важных секторов, таких как финансы и энергетика», — заявил Нил Джеттон, директор Интерпола по киберпреступности. «Результаты операции «Страж» отражают приверженность африканских правоохранительных органов, работающих в тесной координации с международными партнерами. Их действия успешно защитили средства к существованию, обеспечили безопасность конфиденциальных персональных данных и сохранили критически важную инфраструктуру».
В операции «Страж» использовались не только ресурсы правоохранительных органов, но и усилия компаний, занимающихся кибербезопасностью, включая Team Cymru, The Shadowserver Foundation, Trend Micro, TRM Labs и Uppsala Security.
(*) Имейте ввиду: редакции некоторых изданий могут придерживаться предвзятых взглядов в освящении новостей.
8/9
Автор – Howard Solomon
