ImmuniWeb: дайджест киберпреступности май 2026

Руководители телекоммуникационных компаний осуждены, преступная VPN-сеть ликвидирована, более 200 человек задержаны: май 2026 года ознаменовался волной глобальных правоохранительных действий в области киберпреступности.

Ответственность за киберпреступления усиливается. За одну неделю в мае 2026 года американские прокуроры добились признания вины от руководителей телекоммуникационных компаний, сознательно содействовавших мошенничеству в сфере технической поддержки, европейские власти ликвидировали VPN-сервис, использовавшийся бандами программ-вымогателей, Интерпол задержал 201 подозреваемого в регионе MENA, а южнокорейская полиция пресекла масштабную операцию по SMS-фишингу. Каждый из этих случаев несёт прямые уроки для предприятий, управляющих рисками третьих сторон, безопасностью цепочки поставок и соответствием нормативным требованиям.

Что было анонсировано

Адам Янг и Харрисон Гевирц, бывшие руководители американской компании телекоммуникационных услуг, признали себя виновными в сокрытии тяжкого преступления (misprision of a felony) за сознательное предоставление телефонных номеров, маршрутизации звонков, отслеживания и переадресации для международных мошеннических операций в сфере технической поддержки. По утверждению прокуроров, они знали о преступной деятельности ещё с 2017 года, однако консультировали клиентов по уклонению от жалоб и содействовали связям с другими поставщиками услуг, поддерживавшими незаконные операции. Вынесение приговора назначено на 16 июня 2026 года.

Отдельно, французские и нидерландские власти при поддержке Eurojust и Europol ликвидировали First VPN — преступный VPN-сервис, фигурировавший практически в каждом крупном расследовании киберпреступлений Europol. Изъято 33 сервера, отключены многочисленные доменные имена. Пользователи сервиса были уведомлены о том, что их личности установлены.

Операция Ramz — скоординированная акция Интерпола, охватившая 13 стран MENA и проводившаяся с октября 2025 по февраль 2026 года, — привела к 201 аресту, идентификации 382 дополнительных подозреваемых, установлению 3 867 жертв и изъятию 53 серверов. В Алжире была ликвидирована операция типа phishing-as-a-service (PhaaS). В Иордании обнаружены 15 жертв торговли людьми, которых принуждали участвовать в мошеннических схемах.

В Южной Корее 36 человек арестованы за рассылку более 580 миллионов мошеннических SMS-сообщений на протяжении 15 месяцев, что причинило совокупный ущерб более $13,4 миллиона в рамках двух кампаний. Полиция провела 62 обыска и получила судебное разрешение на конфискацию около $6,5 миллиона преступных доходов.

Наконец, украинская полиция задержала 18-летнего жителя Одессы, связанного с международной схемой, скомпрометировавшей около 30 000 аккаунтов калифорнийского онлайн-ритейлера, в результате чего убытки превысили $250 000.

Почему это важно для региона

Для CISO и ИТ-директоров в регионе CEE эти правоохранительные действия выделяют три критические зоны риска. Во-первых, риски третьих сторон и цепочки поставок: дело руководителей телекома показывает, что поставщики услуг — а не только непосредственные злоумышленники — несут уголовную ответственность, когда не реагируют на известные злоупотребления. Организациям необходимо тщательно проверять процессы due diligence в отношении своих поставщиков.

Во-вторых, риск VPN и инфраструктуры анонимизации: ликвидация First VPN подтверждает, что преступная инфраструктура активно отслеживается. Предприятиям, использующим непроверенные средства анонимизации, следует пересмотреть свои решения.

В-третьих, фишинг в промышленных масштабах: 580 миллионов мошеннических SMS-сообщений за 15 месяцев демонстрирует операционный масштаб современных фишинговых кампаний. Подмена идентификатора вызывающего абонента и платформы PhaaS существенно снижают технический барьер для злоумышленников, что делает обучение персонала и технические средства фильтрации важнее, чем когда-либо.

Технические детали

• Вектор атаки в телекоммуникационном мошенничестве: маршрутизация VoIP-звонков, подмена caller ID и удалённый доступ к компьютерам жертв через мошеннические колл-центры.
• Инфраструктура First VPN: изъято 33 сервера; домены 1vpns[.]com, 1vpns[.]net, 1vpns[.]org и связанные onion-домены отключены; сервис рекламировался на преступных форумах с обещанием отсутствия логов и отказа от сотрудничества с правоохранительными органами.
• Масштаб операции Ramz: 13 стран MENA, октябрь 2025 — февраль 2026, 201 арест, 382 идентифицированных подозреваемых, 3 867 жертв, 53 изъятых сервера.
• SMS-кампания в Южной Корее: более 580 миллионов мошеннических сообщений за 15 месяцев; 18 вовлечённых компаний; caller ID подделывался под банки и телекоммуникационных операторов; совокупный ущерб — около $13,4 миллиона.
• Взлом в сфере электронной коммерции (Украина): вредоносное ПО для кражи информации использовалось для сбора учётных данных и данных сессий; скомпрометировано 30 000 аккаунтов; похищенные данные продавались через онлайн-платформы и Telegram-каналы.
• PhaaS (phishing-as-a-service): выявлено в Алжире в ходе операции Ramz; на выделенных серверах размещались инструменты и скрипты фишинга, ликвидированные полицией.
• Элемент торговли людьми: 15 граждан азиатских стран, завербованных под ложными предложениями о работе и принуждённых участвовать в мошеннических схемах в Иордании.

Softprom и ImmuniWeb

Softprom является официальным дистрибьютором ImmuniWeb в регионе CEE. ImmuniWeb предоставляет инструменты управления поверхностью атак на основе AI, мониторинга даркнета и тестирования безопасности приложений — возможности, непосредственно актуальные для обнаружения скомпрометированных учётных данных, открытой инфраструктуры и сигналов риска третьих сторон, описанных в этих правоохранительных делах.

Этот материал подготовлен в рамках проекта Softprom DistriFlow — автоматизированной системы мониторинга и адаптации новостей вендоров. Источник: оригинальная статья.