ImmuniWeb: кіберзлочинність травень 2026 — арешти та вироки

Керівники телекомунікаційних компаній засуджені, злочинна VPN-мережа ліквідована, понад 200 осіб заарештовано: травень 2026 ознаменувався хвилею глобальних правоохоронних дій у сфері кіберзлочинності.

Відповідальність за кіберзлочини зростає. За один тиждень у травні 2026 року американські прокурори отримали визнання провини від телекомунікаційних керівників, які свідомо сприяли шахрайству у сфері технічної підтримки, європейські власті ліквідували VPN-сервіс, яким користувалися банди програм-вимагачів, Інтерпол заарештував 201 підозрюваного в регіоні MENA, а південнокорейська поліція знешкодила масштабну операцію з SMS-фішингу. Кожен із цих випадків несе пряме повчання для підприємств, які керують ризиками третіх сторін, безпекою ланцюжка постачання та відповідністю вимогам регуляторів.

Що було анонсовано

Адам Янг та Харрісон Гевірц, колишні керівники американської компанії телекомунікаційних послуг, визнали себе винними у приховуванні тяжкого злочину (misprision of a felony) за свідоме надання номерів телефонів, маршрутизації дзвінків, відстеження та переадресації для міжнародних операцій шахрайства у сфері технічної підтримки. Прокурори стверджують, що пара знала про злочинну діяльність ще з 2017 року, однак консультувала клієнтів щодо уникнення скарг і сприяла зв'язкам з іншими постачальниками послуг, що підтримували незаконні операції. Вирок призначено на 16 червня 2026 року.

Окремо, французькі та нідерландські власті за підтримки Eurojust та Europol ліквідували First VPN — злочинний VPN-сервіс, який фігурував у майже кожному великому розслідуванні кіберзлочинів Europol. Вилучено 33 сервери, відключено численні доменні імена. Користувачів сервісу було повідомлено, що їх ідентифіковано.

Операція Ramz — скоординована дія Інтерполу, що охопила 13 країн MENA і тривала з жовтня 2025 по лютий 2026 року — призвела до 201 арешту, ідентифікації 382 додаткових підозрюваних, встановлення 3 867 жертв та вилучення 53 серверів. В Алжирі було ліквідовано операцію типу phishing-as-a-service (PhaaS). У Йорданії виявлено 15 жертв торгівлі людьми, яких примушували брати участь у шахрайських схемах.

У Південній Кореї 36 осіб заарештовано за надсилання понад 580 мільйонів шахрайських SMS-повідомлень протягом 15 місяців, що спричинило збитки понад $13,4 мільйона в рамках двох кампаній — голосового фішингу та SMS-фішингу. Поліція провела 62 обшуки та отримала судовий дозвіл на конфіскацію близько $6,5 мільйона злочинних доходів.

Нарешті, українська поліція затримала 18-річного жителя Одеси, пов'язаного з міжнародною схемою, що скомпрометувала близько 30 000 облікових записів каліфорнійського онлайн-рітейлера, внаслідок чого збитки склали понад $250 000.

Чому це важливо для регіону

Для CISO та ІТ-директорів у регіоні CEE ці правоохоронні дії виділяють три критичні зони ризику. По-перше, ризики третіх сторін та ланцюжка постачання: справа керівників телекому показує, що постачальники послуг — а не лише безпосередні зловмисники — несуть кримінальну відповідальність, коли не реагують на відомі зловживання. Організації повинні ретельно перевіряти процеси due diligence щодо своїх постачальників.

По-друге, ризик VPN та інфраструктури анонімізації: ліквідація First VPN підтверджує, що злочинна інфраструктура активно відстежується. Підприємства, що використовують неперевірені засоби анонімізації, повинні переглянути свої рішення.

По-третє, фішинг у промислових масштабах: 580 мільйонів шахрайських SMS-повідомлень за 15 місяців демонструє операційний масштаб сучасних фішингових кампаній. Підміна ідентифікатора абонента та платформи PhaaS суттєво знижують технічний бар'єр для зловмисників, що робить навчання персоналу та технічні засоби фільтрації важливішими ніж будь-коли.

Технічні деталі

• Вектор атаки у телекомунікаційному шахрайстві: маршрутизація VoIP-дзвінків, підміна caller ID та віддалений доступ до комп'ютерів жертв через шахрайські колл-центри.
• Інфраструктура First VPN: вилучено 33 сервери; домени 1vpns[.]com, 1vpns[.]net, 1vpns[.]org та пов'язані onion-домени відключено; сервіс рекламувався на злочинних форумах з обіцянкою відсутності логів та відмови від співпраці з правоохоронними органами.
• Масштаб операції Ramz: 13 країн MENA, жовтень 2025 — лютий 2026, 201 арешт, 382 ідентифікованих підозрюваних, 3 867 жертв, 53 вилучених сервери.
• SMS-кампанія у Південній Кореї: понад 580 мільйонів шахрайських повідомлень за 15 місяців; 18 залучених компаній; caller ID підроблено під банки та телекоми; сукупні збитки — близько $13,4 мільйона.
• Злом у сфері електронної комерції (Україна): шкідливе ПЗ для крадіжки інформації використовувалося для збору облікових даних та даних сесій; скомпрометовано 30 000 облікових записів; вкрадені дані продавалися через онлайн-платформи та Telegram-канали.
• PhaaS (phishing-as-a-service): виявлено в Алжирі під час операції Ramz; на виділених серверах розміщувалися інструменти та скрипти фішингу, ліквідовані поліцією.
• Елемент торгівлі людьми: 15 осіб із азійських країн, завербованих під фіктивними пропозиціями роботи та примушених працювати в шахрайських схемах у Йорданії.

Softprom та ImmuniWeb

Softprom є офіційним дистриб'ютором ImmuniWeb у регіоні CEE. ImmuniWeb надає засоби управління поверхнею атак на основі AI, моніторингу даркнету та тестування безпеки застосунків — можливості, безпосередньо актуальні для виявлення скомпрометованих облікових даних, відкритої інфраструктури та сигналів ризику третіх сторін, описаних у цих правоохоронних справах.

Цей матеріал підготовлено в рамках проєкту Softprom DistriFlow — автоматизованої системи моніторингу та адаптації новин вендорів. Джерело: оригінальна стаття.