интервью Киберпреступные группировки превратились почти в мистические сущности: вендоры по безопасности присваивают им такие имена, как Wizard Spider и Velvet Tempest.
Они скрываются в потаенных уголках даркнета (часто с сопутствующим утечным сайтом в клети), заставляя некоторых специалистов по информационной безопасности говорить об этих негодяях так, будто они неуязвимы. Но не все разделяют эту тенденцию.
Бывший глава CISA Джен Истерли и другие призвали индустрию прекратить героизировать эти группы и вместо этого давать им отвратительные имена вроде «Тощий Вредитель» или «Злой Хорёк».
Во время интервью с The Register на конференции RSA вице-президент Trellix по анализу угроз Джон Фоккер заявил, что ему это тоже надоело.
«Я пытаюсь инициировать дебаты, или здоровую дискуссию, о том, что мы можем сделать как индустрия, — сказал он. — Все превозносят злоумышленников, а это не помогает ни нашим клиентам, ни организациям. Это просто люди, они просто пользуются компьютерами, и они просто хотят украсть ваши данные и заработать деньги. Они не мифические. У них нет суперспособностей».
Это просто люди, они просто пользуются компьютерами, и они просто хотят украсть ваши данные и заработать деньги. Они не мифические. У них нет суперспособностей
Поэтому его команда из фирмы по обнаружению угроз и реагированию Trellix решила применить к освещению преступного подполья подход, «почти как в пси-операциях». «Мы не хотим их прославлять, что мы можем сделать наоборот? Мы будем их высмеивать».
Так и родился проект Dark Web Roast. Это регулярный блог, наполненный мемами, насмешками и дисклеймером, вдохновленным фразой Рики Джервэйса «это просто шутки»: «Хотя эти инциденты действительно забавны, они представляют собой реальную преступную деятельность, причиняющую значительный вред. Этот контент предназначен только для целей анализа угроз и образования».
В самом последнем выпуске фигурирует банда программ-вымогателей, которая массово составляла и планировала свои вымогательские попытки, как контент-календарь: «Учитывая огромный, ошеломляющий объем их постов, можно с уверенностью предположить, что их „жертвы“ — это, вероятно, просто фейковые сайты, которые они сами запустили для контента, потому что ничто так не кричит о легитимности, как завышение своей статистики фантомными компрометациями», — написали исследователи.
Есть также разработчик эксплойтов под ником cortana9000, который обнаружил уязвимость удаленного выполнения кода в Cisco (CVE-2026-20045), активно используемую спонсируемыми государством головорезами, и спросил на форуме: «И сколько это стоит?»… а затем выставил её на другом форуме за 70 000 долларов.
«Участник форума по имени KlopInko нанес сокрушительный удар одной фразой: „поскольку это известно, это 1-дневный эксплойт“ — по сути, сообщив cortana9000, что его выплата в 70 тысяч долларов начала обесцениваться в тот момент, когда он открыл рот», — говорится в обзоре.
Есть также преступник под ником patagon на DarkForums, который пытался продать полный доступ администратора домена к энергосистеме России менее чем за подержанный автомобиль, недооценив свою очевидную находку «на много порядков».
Когда копы троллят
Фоккер указывает на захват и ликвидацию инфраструктуры LockBit, проведенную Национальным агентством по борьбе с преступностью Великобритании (NCA), как на начало целенаправленного изменения реакции правоохранительных органов на киберпреступников. В том случае полицейские троллили печально известную банду программ-вымогателей через её собственный веб-сайт, а затем в конечном итоге раскрыли настоящее имя LockBitSupp.
Ликвидации инфраструктуры групп недостаточно, потому что они могут просто запустить новые серверы и домены, что, стоит отметить, LockBit и сделала. Тогда это превращается в игру в „ударь крота“.
«Преступники говорят: „Хорошо, я могу играть в эту игру весь день“. Так что это не очень работает», — сказал Фоккер. Но публичное высмеивание (как в случае с LockBit) и проникновение, подобное тому, что сделало ФБР с сетью программ-вымогателей Hive, может подорвать доверие среди киберворов. И это фрагментация может помочь защитникам демонтировать преступные операции и обеспечить безопасность людей и данных.
«В преступном подполье всё больше зависит от сетей и отдельных лиц», — сказал Фоккер. Группы программ-вымогателей работают с брокерами первоначального доступа или разработчиками эксплойтов, чтобы проникнуть в сети жертв, а у них есть разработчики, которые пишут вредоносное ПО, и аффилированные лица, осуществляющие атаки.
Фрагментация доверия среди воров
«Это также создает зависимости, — продолжил Фоккер. — У вас есть группы, которые сотрудничали с группой программ-вымогателей, и они проникали или крали данные, а затем у вас случаются мошенничества с выходом (exit scams) или дешифратор не сработал, и это вызывает трещины в бизнес-модели».
Trellix помогала международным правоохранительным органам в многолетней операции Endgame, а во время ликвидации инфостилера Rhadamanthys в ноябре 2025 года официальные лица выпустили нагловатое анимированное видео, намекающее на разведданные, собранные в ходе операции, и призванное подорвать доверие внутри преступных организаций.
В видео показано, как администратор присваивает себе самые ценные секреты и ключи криптовалюты для личной выгоды, передавая клиентам только менее прибыльные данные. Trellix узнала об этом инциденте во время брифинга с голландской полицией.
«Они сказали нам: „Мы узнали, что этот администратор тоже крадет у своих клиентов“», — вспоминает Фоккер. После выхода пресс-релиза Европола Trellix выпустила сарказм в Dark Web Roast.
«Мы, по сути, сказали, что глупо работать с ним, потому что он просто богатеет, а мы просто высмеиваем его, — сказал Фоккер. — Мы не знаем, было ли это влияние измеримым, но всё же у нас была возможность развить эту историю и выставить этого администратора полным дураком. Так что это кое-что значит». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
