ImmuniWeb: cyberprzestępczość maj 2026 — wyroki i areszty

Skazani menedżerowie telekomunikacyjni, zlikwidowana przestępcza sieć VPN, ponad 200 aresztowanych: maj 2026 roku przyniósł falę globalnych działań organów ścigania w obszarze cyberprzestępczości.

Odpowiedzialność za cyberprzestępstwa rośnie. W ciągu jednego tygodnia w maju 2026 roku amerykańscy prokuratorzy uzyskali przyznanie się do winy od kadry kierowniczej firm telekomunikacyjnych, która świadomie umożliwiała oszustwa w zakresie wsparcia technicznego, europejskie władze zlikwidowały serwis VPN używany przez gangi ransomware, Interpol aresztował 201 podejrzanych w regionie MENA, a koreańska policja rozbiła masową operację phishingu SMS. Każdy z tych przypadków niesie bezpośrednie wnioski dla przedsiębiorstw zarządzających ryzykiem stron trzecich, bezpieczeństwem łańcucha dostaw i zgodnością regulacyjną.

Co zostało ogłoszone

Adam Young i Harrison Gevirtz, byli menedżerowie amerykańskiej firmy telekomunikacyjnej, przyznali się do winy w zakresie ukrywania przestępstwa federalnego (misprision of a felony) za świadome udostępnianie numerów telefonów, routingu połączeń, śledzenia i przekierowywania na potrzeby międzynarodowych operacji oszustw wsparcia technicznego. Prokuratorzy twierdzą, że para wiedziała o przestępczej działalności już od 2017 roku, jednak doradzała klientom, jak unikać skarg i ułatwiała kontakty z innymi dostawcami usług wspierającymi nielegalne operacje. Wyrok ma być ogłoszony 16 czerwca 2026 roku.

Oddzielnie, francuskie i holenderskie władze przy wsparciu Eurojust i Europol zlikwidowały First VPN — przestępczy serwis VPN, który pojawiał się w niemal każdym dużym śledztwie Europolu w sprawie cyberprzestępczości. Zabezpieczono 33 serwery i wyłączono liczne nazwy domen. Użytkownicy serwisu zostali powiadomieni o tym, że zostali zidentyfikowani.

Operacja Ramz — skoordynowana akcja Interpolu obejmująca 13 krajów MENA, prowadzona od października 2025 do lutego 2026 roku — doprowadziła do 201 aresztowań, identyfikacji 382 kolejnych podejrzanych, ustalenia 3 867 ofiar i zajęcia 53 serwerów. W Algierii zlikwidowano operację typu phishing-as-a-service (PhaaS). W Jordanii odkryto 15 ofiar handlu ludźmi, które były zmuszane do uczestnictwa w schematach oszustw.

W Korei Południowej 36 osób zostało aresztowanych za wysyłanie ponad 580 milionów fałszywych wiadomości SMS przez 15 miesięcy, powodując łączne straty przekraczające $13,4 miliona w ramach dwóch kampanii — voice phishingu i phishingu SMS. Policja przeprowadziła 62 przeszukania i uzyskała zgodę sądu na konfiskatę około $6,5 miliona przestępczych dochodów.

Na Ukrainie policja zatrzymała 18-latka z Odessy, powiązanego z międzynarodowym schematem, który skompromitował około 30 000 kont kalifornijskiego sprzedawcy internetowego, w wyniku czego straty przekroczyły $250 000.

Dlaczego ma to znaczenie dla regionu CEE

Dla CISO i dyrektorów IT w regionie CEE te działania organów ścigania wskazują na trzy krytyczne obszary ryzyka. Po pierwsze, ryzyko stron trzecich i łańcucha dostaw: sprawa kadry kierowniczej telekomunikacyjnej pokazuje, że dostawcy usług — a nie tylko bezpośredni sprawcy — ponoszą odpowiedzialność karną, gdy nie reagują na znane nadużycia. Organizacje muszą dokładnie weryfikować procesy due diligence wobec swoich dostawców.

Po drugie, ryzyko VPN i infrastruktury anonimizacji: likwidacja First VPN potwierdza, że przestępcza infrastruktura jest aktywnie monitorowana. Przedsiębiorstwa korzystające z niezweryfikowanych narzędzi anonimizacji powinny ponownie ocenić swoje wybory.

Po trzecie, phishing na skalę przemysłową: 580 milionów fałszywych wiadomości SMS w ciągu 15 miesięcy pokazuje operacyjną skalę nowoczesnych kampanii phishingowych. Podszywanie się pod identyfikator dzwoniącego i platformy PhaaS znacznie obniżają barierę techniczną dla atakujących, co sprawia, że szkolenia pracowników i techniczne mechanizmy filtrowania są ważniejsze niż kiedykolwiek.

Szczegóły techniczne

• Wektor ataku w oszustwie telekomunikacyjnym: routing połączeń VoIP, podszywanie się pod caller ID oraz zdalny dostęp do komputerów ofiar przez fałszywe call center.
• Infrastruktura First VPN: zajęto 33 serwery; domeny 1vpns[.]com, 1vpns[.]net, 1vpns[.]org oraz powiązane domeny onion wyłączone; serwis był reklamowany na przestępczych forach z obietnicą braku logów i odmowy współpracy z organami ścigania.
• Zakres operacji Ramz: 13 krajów MENA, październik 2025 — luty 2026, 201 aresztowań, 382 zidentyfikowanych podejrzanych, 3 867 ofiar, 53 zajęte serwery.
• Kampania SMS w Korei Południowej: ponad 580 milionów fałszywych wiadomości przez 15 miesięcy; 18 zaangażowanych firm; caller ID podszywał się pod banki i operatorów telekomunikacyjnych; łączne straty — około $13,4 miliona.
• Naruszenie bezpieczeństwa e-commerce (Ukraina): złośliwe oprogramowanie do kradzieży informacji używane do zbierania danych logowania i danych sesji; skompromitowano 30 000 kont; skradzione dane sprzedawane przez platformy internetowe i kanały Telegram.
• PhaaS (phishing-as-a-service): zidentyfikowany w Algierii podczas operacji Ramz; dedykowane serwery hostowały narzędzia i skrypty phishingowe, zlikwidowane przez policję.
• Element handlu ludźmi: 15 obywateli krajów azjatyckich zwerbowanych pod fałszywymi ofertami pracy i zmuszonych do uczestnictwa w schematach oszustw w Jordanii.

Softprom i ImmuniWeb

Softprom jest oficjalnym dystrybutorem ImmuniWeb w regionie CEE. ImmuniWeb dostarcza narzędzia zarządzania powierzchnią ataku oparte na AI, monitorowania dark web oraz testowania bezpieczeństwa aplikacji — możliwości bezpośrednio istotne dla wykrywania skompromitowanych danych logowania, odsłoniętej infrastruktury i sygnałów ryzyka stron trzecich opisanych w tych sprawach organów ścigania.

Treść przygotowana w ramach projektu Softprom DistriFlow — zautomatizowanego systemu monitorowania i adaptacji aktualności vendorów. Źródło: artykuł oryginalny.