У звітах з кібербезпеки прийнято описувати хакерські атаки як окремі події — але насправді за кожним успішним зламом стоїть ціла мережа взаємозалежних постачальників послуг, посередників і виконавців. Кіберзлочинність давно перестала бути справою самітників і перетворилася на повноцінну підпільну індустрію з власним ринком праці, ланцюгами постачання та навіть конкуренцією між «вендорами».

За оцінками дослідників, у 2025 році глобальні збитки від кіберзлочинності сягнули $10,5 трлн на рік — більше, ніж ВВП будь-якої країни світу, крім США та Китаю. Для порівняння: це вдвічі перевищує ВВП України за всю її незалежну історію, разом узяту. Кіберзлочинність як сервісна модель зробила атаки доступними навіть для людей без технічних знань: купити готовий інструмент для злому можна так само легко, як замовити доставку їжі.

Компанія з кібербезпеки CrowdStrike ще в 2021 році систематизувала цю екосистему, розділивши її на три великі категорії: послуги, дистрибуція та монетизація. Сьогодні ця структура залишається актуальною, але кожна з категорій суттєво еволюціонувала — і доповнилася двома новими вимірами, яких п’ять років тому просто не існувало: штучним інтелектом та Telegram як основним майданчиком підпільної торгівлі.

Рівень перший: послуги та постачальники

Базова інфраструктура кіберзлочинності — це набір спеціалізованих сервісів, які злочинні угруповання «орендують» або купують замість того, щоб розробляти самостійно. Принцип той самий, що й у легальному технологічному бізнесі: навіщо будувати власний дата-центр, якщо можна орендувати хмару?

Брокери початкового доступу (Initial Access Brokers)

Це, мабуть, найпомітніша категорія підпільного ринку останніх років. Брокери доступу — зловмисники, які спеціалізуються на зламі корпоративних мереж і наступному продажі цього доступу іншим групам. Вони не проводять атаки самостійно — вони постачають «відчинені двері».

За даними Group-IB, у 2024 році зафіксовано понад 3 000 пропозицій продажу доступу до корпоративних мереж — на 15% більше порівняно з 2023 роком. Регіон Північної Америки показав найбільший приріст — 43%. Ціни варіюються від кількох сотень до десятків тисяч доларів залежно від розміру організації та рівня привілеїв.

Ransomware-as-a-Service та Crime-as-a-Service

Модель «вимагачі як сервіс» (RaaS) фактично демократизувала один із найприбутковіших видів кіберзлочинності. Розробники програм-вимагачів більше не проводять атаки самостійно — вони створюють платформу й продають або здають в оренду доступ до неї афіліатам, отримуючи від 10 до 30% від кожного виплаченого викупу.

У 2024 році Group-IB ідентифікувала 39 нових RaaS-оголошень і зафіксувала 44-відсоткове зростання кількості афіліатів. Кількість атак через спеціалізовані сайти витоків збільшилась на 10% — до понад 5 000 задокументованих випадків. У 2024 році одна компанія зі списку Fortune 50 виплатила рекордний викуп у $75 млн.

Послуги анонімізації та «куленепробивний» хостинг

Інфраструктура анонімності — ще один ключовий елемент підпільного ринку. Сюди входять резидентні проксі-мережі (трафік маршрутизується через пристрої реальних користувачів, що робить його майже невиявним), приватні VPN-сервіси без журналів активності, а також «куленепробивні» хостинг-провайдери — компанії, що надають серверну інфраструктуру і свідомо ігнорують скарги на зловживання.

Фішинг-набори та Webinject

Фішинг-набори — готові веб-інструменти для автоматизації фішингових атак — доступні на підпільних ринках за суми від кількох десятків доларів. Більш складні інструменти типу Webinject дозволяють вбудовувати шкідливий код безпосередньо в браузер жертви під час відвідування банківських сайтів — жертва бачить звичний інтерфейс, але насправді взаємодіє зі шкідливим шаром.

Послуги з вербування та «грошові мули»

Вербування звичайних людей для участі у злочинних схемах — окрема спеціалізація. Так звані «грошові мули» фізично знімають готівку із зламаних рахунків або отримують переказ на власний рахунок, а потім пересилають кошти далі по ланцюжку відмивання. Частину цих людей свідомо вербують на підпільних форумах; інші стають жертвами шахраїв, які пропонують «легкий заробіток».

Рівень другий: дистрибуція та доставка атак

Навіть найдосконаліше шкідливе програмне забезпечення марне без механізму доставки. Саме тому дистрибуція — окремий сегмент підпільного ринку з власними спеціалістами та сервісами.

Спам- та фішингові кампанії залишаються найпоширенішим інструментом початкового проникнення. За даними ENISA, фішинг є домінуючим вектором злому в 60% задокументованих інцидентів у Євросоюзі. Окремі групи спеціалізуються виключно на масових розсилках — вони не розробляють шкідливе ПЗ і не монетизують дані, їхній «продукт» — це охоплення аудиторії.

Ще одна ключова категорія — завантажувачі або «лоадери» (loaders). Це угруповання, які вже контролюють заражені пристрої і пропонують «встановити» шкідливе ПЗ іншої групи у вже скомпрометованій мережі. Фактично це послуга субпідряду: одна група будує плацдарм, інша — його використовує для власних цілей.

Exploit-кити — набори для автоматичної експлуатації вразливостей у браузерах та плагінах — дозволяють заражати пристрої жертв без будь-якої взаємодії з їхнього боку: достатньо просто відвідати скомпрометований сайт. Трафік на такі сайти перенаправляється через зламані легітимні веб-ресурси, що ускладнює виявлення.

Рівень третій: монетизація — перетворення злому на гроші

Зламати мережу — лише половина справи. Наступна задача — конвертувати здобуті дані чи доступ у реальні кошти, залишаючись при цьому невиявленим. Монетизація — найрізноманітніший сегмент кіберзлочинної екосистеми.

Кардингові форуми залишаються основним ринком збуту викрадених платіжних даних. Ціна залежить від типу картки, країни та наявності повного «дампу» з CVV-кодом. Окремі сервіси перевірки карток дозволяють автоматично верифікувати дійсність тисяч номерів за лічені хвилини.

Відмивання грошей еволюціонувало разом із криптовалютою. «Міксери» та «тумблери» — сервіси, що перемішують криптотранзакції для приховування їхнього походження, — стали стандартним інструментом. За даними Chainalysis, загальний обсяг криптозлочинності у 2024 році перевищив $51 млрд. Паралельно існують мережі підставних компаній для відмивання коштів через легальні банківські канали.

«Шахрайський перепродаж» — схема, за якої викрадені кошти конвертуються в реальні товари (зазвичай електроніка, ювелірні вироби або автомобілі), які потім перепродаються за готівку. Це ускладнює відстеження: гроші «очищаються» через легальний товарний ринок.

Вимагання — ще одна форма монетизації, що вийшла далеко за межі класичного ransomware. Сьогодні поширена «подвійна атака»: зашифрувати дані і водночас погрожувати їх публікацією. Деякі угруповання повністю відмовились від шифрування й займаються виключно крадіжкою та шантажем — це простіше й так само прибутково.

Новий вимір: штучний інтелект як підсилювач злочинності

П’ять років тому ШІ у кіберзлочинності був екзотикою. Сьогодні він вбудований у підпільну екосистему як стандартний інструмент. Дослідники Trend Micro зафіксували принципову зміну: злочинці більше не будують ШІ-інструменти самостійно — вони купують готові сервіси або зламують легальні платформи.

Jailbreak-as-a-Service — окремий сегмент ринку: постачальники продають методи обходу захисту комерційних мовних моделей (ChatGPT, Claude, Gemini) для генерації фішингових листів, сценаріїв соціальної інженерії та шкідливого коду. На підпільних маркетплейсах також продають скомпрометовані акаунти ChatGPT і Claude — для масової автоматизації або обходу санкційних обмежень (актуально для росії, Ірану та Північної Кореї, де доступ до цих сервісів заблоковано).

Дипфейк-технології перетворились із курйозу на інструмент корпоративного шахрайства. Зафіксовані випадки, коли зловмисники підробляли відео- та аудіозвернення керівників компаній, щоб змусити фінансових співробітників здійснити великі перекази. Оцінка загроз Europol за 2025 рік прямо попереджає: злочинні угруповання дедалі активніше використовують генеративний ШІ для масштабування фішингу та шахрайських операцій.

Паралельно з’являються перші зразки шкідливого ПЗ, що динамічно генерують власний код за допомогою вбудованих мовних моделей — адаптуючись до конкретного середовища та ускладнюючи виявлення. Поки що ці техніки залишаються нішевими через нестабільність і залежність від зовнішніх API, але тенденція зафіксована.

Нова інфраструктура: Telegram замінив даркнет

Якщо п’ять років тому основним майданчиком підпільної торгівлі були анонімні форуми в мережі Tor та даркнет-маркетплейси, то сьогодні центр ваги змістився в бік Telegram. Дослідження компанії Cyfirma підтверджує: Telegram став основною платформою для хакерів.

Масштаби вражають. Лише через одну групу в Telegram — Huione Guarantee — з 2021 по 2025 рік пройшло $27 млрд транзакцій, пов’язаних із незаконною діяльністю. Це перевищує обіг найвідоміших даркнет-маркетплейсів за всю їхню історію. Коли в травні 2025 року Telegram заблокував цей канал, його місце миттєво зайняли клони — і за лічені місяці новий канал досяг обігу в $1,1 млрд.

Telegram приваблює злочинців з кількох причин: відносна анонімність, можливість створювати великі закриті групи, зручна інтеграція з криптовалютними ботами та значно нижча технічна складність порівняно з Tor. Продаж зламаних баз даних, кредитних карток, інструментів для кіберзлочинності, вербування «грошових мулів» — все це відбувається у відкритих і закритих каналах із мінімальною модерацією.

Після арешту Павла Дурова у Франції в серпні 2024 року Telegram оголосив про передачу правоохоронним органам даних користувачів, які займаються незаконною діяльністю. У 2024 році платформа заблокувала понад 15,3 млн каналів і груп. Попри це, за спостереженнями дослідників, кіберзлочинна активність у Telegram продовжує зростати.

Чому таргетування постачальників ефективніше, ніж переслідування виконавців

Відстежити всі зв’язки між угрупованнями та їхніми постачальниками — завдання надскладне через широке використання зашифрованих каналів зв’язку та криптовалюти. Однак аналітична компанія Chainalysis ще в 2021 році сформулювала принцип, який залишається актуальним: правоохоронні органи досягають кращих результатів, якщо атакують спільну інфраструктуру, а не кінцевих виконавців.

Логіка проста: знищити один RaaS-сервіс означає одночасно вивести з ладу десятки угруповань, які ним користувались. Зламати мережу «куленепробивного» хостингу — позбавити інфраструктури цілий кластер злочинних операцій. Цей підхід показав реальні результати: операції проти інфраструктури Emotet (2021), LockBit (2024) та ALPHV/BlackCat (2024) завдали значно більших збитків кіберзлочинній екосистемі, ніж точкові арешти окремих хакерів.

Є й інша перевага: постачальники підпільних послуг зазвичай мають слабшу операційну безпеку, ніж найбільші злочинні угруповання. Їхні «сліди» залишаються в даних, які потім допомагають ідентифікувати клієнтів вищого рівня.

Контекст для України

Україна перебуває в специфічному положенні: вона є одночасно і мішенню найактивніших у світі державних хакерів, і країною, де кіберзахист перетворився на питання національної безпеки. Важливо розуміти: між «комерційною» кіберзлочинністю та державними кібератаками — насамперед з боку росії — межа часто розмита.

Дослідження Trend Micro характеризує російськомовну кіберзлочинну екосистему як «найсофістикованішу та найстійкішу у світі». Частина угруповань, що формально є «комерційними», фактично діє в інтересах або за замовленням спецслужб — особливо в контексті повномасштабного вторгнення в Україну. CERT-UA регулярно фіксує атаки з використанням тих самих інструментів і інфраструктури, що їх продають на підпільних маркетплейсах.

Ця стаття Як кіберзлочинці взаємодіють між собою раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Агентство Europol опублікувало найдетальнішу на сьогодні оцінку загроз від серйозної та організованої злочинності в Євросоюзі — EU-SOCTA 2025. Документ, підготовлений на основі тисяч кримінальних розслідувань у 27 державах-членах ЄС, фіксує глибоку трансформацію злочинного середовища: організовані угруповання дедалі активніше експлуатують штучний інтелект, криптовалюти та цифрову інфраструктуру — і паралельно перетворюються на інструмент гібридних загроз із боку ворожих держав.

Три виміри трансформації злочинності

Автори звіту описують зміни в організованій злочинності через метафору ДНК: подібно до того, як генетичний код визначає будову живого організму, злочинні мережі формуються трьома взаємопов’язаними динаміками. Перша — злочин дестабілізує суспільство, підриваючи економіку, верховенство права та соціальну єдність. Друга — злочин живиться онлайном, де інтернет став не просто інструментом, а повноцінним середовищем існування кримінального бізнесу. Третя — злочин прискорюється завдяки ШІ та новим технологіям, які забезпечують угрупованням небувалу швидкість, масштаб і складність операцій.

Ці три виміри не існують окремо — вони підсилюють одне одного, формуючи загрозу, з якою правоохоронні органи раніше не стикалися.

Гібридні загрози і «тактика дятла»

Одним із найтривожніших висновків звіту є злиття організованої злочинності з геополітичними гібридними загрозами. Europol фіксує, що кримінальні мережі дедалі частіше виступають проксі-агентами для ворожих держав: вони здійснюють кібератаки, дезінформаційні кампанії, саботаж критичної інфраструктури та контрабанду зброї — в інтересах зовнішніх замовників, забезпечуючи їм можливість відмовлятися від причетності.

У документі прямо згадуються агресивна війна росії проти України та конфлікти на Близькому Сході як каталізатори нестабільності, якою скористалися кримінальні актори. Серед конкретних загроз — можлива активізація контрабанди зброї та боєприпасів після завершення бойових дій в Україні.

Europol описує так звану «тактику дятла» (woodpecker modus operandi): замість однієї масштабної атаки гібридні актори вдаються до серії начебто незначних, але систематичних ударів — підпалів, погроз, диверсій на об’єктах водопостачання чи енергетики. Кожен інцидент окремо виглядає як кримінальний злочин, але в сукупності вони реалізують стратегічну мету дестабілізації. Як дятел поступово руйнує дерево, так і гібридні актори поетапно підточують стійкість суспільства.

Ransomware-атаки на критичну інфраструктуру, урядові установи та бізнес, за даними Europol, уже сьогодні виконуються не лише заради викупу, а й в інтересах зовнішніх держав. Дані, викрадені під час таких атак, використовуються для шпіонажу та економічного примусу.

Інтернет як основна арена злочинності

Europol констатує: практично кожна форма серйозної організованої злочинності сьогодні має цифровий слід. Темний веб, соціальні мережі, платформи електронної комерції та зашифровані месенджери дозволяють кримінальним мережам діяти з максимальною ефективністю, анонімністю і мінімальним фізичним контактом.

Правоохоронці вже зламували спеціалізовані кримінальні платформи — EncroChat, Sky ECC, Ghost, — однак угруповання швидко адаптуються, переходячи на легальні месенджери з наскрізним шифруванням. Це ускладнює слідство: на відміну від кримінальних платформ, такі застосунки не створені для злочинців, а отже, будь-яке розслідування вимагає взаємодії з приватними компаніями та складних правових процедур.

Дані перетворилися на основну валюту злочинного світу. Викрадена інформація не використовується одразу — у багатьох випадках жертви зазнають повторних атак протягом кількох років після первинного витоку. Ransomware, DDoS-атаки, Business Email Compromise та фішинг залишаються головними інструментами для проникнення в системи та вимагання коштів.

ШІ прискорює злочин: від дипфейків до автономних мереж

Штучний інтелект кардинально знизив бар’єр входу у сферу цифрової злочинності. Завдяки генеративним ШІ-моделям зловмисники можуть складати переконливі фішингові листи одразу кількома мовами, створювати складне шкідливе ПЗ без глибоких технічних знань, а також генерувати реалістичні синтетичні медіа для шахрайства, вимагання та крадіжки особистих даних.

Клонування голосу та живі відеодипфейки відкрили нові вектори атак: злочинці можуть у реальному часі видавати себе за керівників компаній, родичів чи представників влади, змушуючи жертв здійснювати грошові перекази або розкривати конфіденційну інформацію. Europol підкреслює: ці інструменти загальнодоступні й не вимагають спеціальних навичок.

Автоматизація фішингових кампаній і великомасштабних кібератак за допомогою ШІ дозволяє злочинцям охоплювати значно більше жертв із меншими ресурсами. У перспективі Europol не виключає появи повністю автономних ШІ-керованих кримінальних мереж — сценарій, який агентство вже вважає реальною загрозою найближчих років.

Окремо звіт розглядає стратегію «збери зараз — розшифруй пізніше» (store now, decrypt later). Кримінальні угруповання, часом на замовлення держав-зловмисників, вже сьогодні збирають зашифровані дані з розрахунком на те, що квантові комп’ютери майбутнього дозволять зламати сучасні стандарти шифрування. Це становить серйозну загрозу для урядових таємниць, корпоративних даних і персональної інформації громадян.

Криптовалюти: цифровий плащ для відмивання грошей

Відмивання коштів Europol називає «хребтом організованої злочинності». Попри значні зусилля правоохоронців, конфіскація злочинних прибутків у ЄС стагнує на рівні близько 2% від загального обсягу незаконних доходів — решта успішно легалізується.

Криптовалюти та децентралізовані фінансові платформи (DeFi) перетворилися на ключовий інструмент відмивання. Схема «chain hopping» — перемикання між різними криптовалютами — суттєво ускладнює відстеження транзакцій, особливо коли кошти конвертуються у «монети конфіденційності» на кшталт Monero. Mixerˑи криптовалют дозволяють анонімізувати походження коштів.

Показовим прикладом у звіті є справа ChipMixer — незліцензованого криптовалютного міксера, ліквідованого у березні 2023 року. За даними слідства, платформа могла відмити близько 152 000 біткоїнів (приблизно 2,73 млрд євро), пов’язаних із darknet-ринками, ransomware-угрупованнями, торгівлею нелегальними товарами та матеріалами сексуального насильства над дітьми.

Злочинне використання криптовалют вийшло далеко за межі кіберзлочинності й тепер охоплює торгівлю наркотиками, контрабанду мігрантів та інші традиційні кримінальні ринки. Паралельно поширюються схеми крадіжки криптовалюти, NFT та криптоджекінгу — захоплення обчислювальних ресурсів жертви для майнінгу.

Корупція, насильство та рекрутування молоді

Europol фіксує адаптацію корупції до цифрової епохи. Окрім традиційних механізмів підкупу, зростає роль «корупційних брокерів» — посередників, які за плату забезпечують злочинцям доступ до державних або корпоративних систем через завербованих інсайдерів. Цифровий рекрутинг через соціальні мережі дозволяє швидко знаходити співробітників із потрібним доступом.

Організована злочинність дедалі частіше застосовує молодих виконавців як щит від переслідування. Неповнолітні та молоді люди рекрутуються через соціальні мережі та ігрові платформи — їм пропонують легкі гроші за «дрібні доручення»: перевезти пакет, стати «грошовим мулом» або здійснити насильницький злочин. Завдяки їхній юридичній захищеності та незнанню ширшої кримінальної мережі вони є зручними «одноразовими» виконавцями.

Пов’язане з організованою злочинністю насильство посилюється в кількох державах ЄС, виплескуючись у публічний простір. Стрілянина та вибухи у великих містах тепер безпосередньо загрожують пересічним громадянам. Послуги «насильства як сервісу» надають професійні актори, що діють без кордонів.

Що це означає для цифрової безпеки

Для пересічних користувачів і бізнесу EU-SOCTA 2025 підтверджує тенденції, про які фахівці з кібербезпеки попереджають вже кілька років. Поєднання ШІ, автоматизованих атак і вкрадених даних означає зростання кількості та якості фішингових кампаній, BEC-шахрайства та атак із використанням дипфейків. Дані, витік яких стався роки тому, можуть знову стати зброєю.

Europol наголошує: протидія цим загрозам вимагає від урядів, правоохоронних органів і технологічного сектору спільної роботи над захисними механізмами, регуляторними стандартами та інструментами виявлення загроз. Водночас громадянське суспільство і медіа відіграють критичну роль у протидії дезінформаційним кампаніям, які є частиною тієї ж гібридної зброї.

Висновки

EU-SOCTA 2025 — це не лише аналітичний документ. Це стратегічна карта загроз, яка безпосередньо впливатиме на пріоритети правоохоронних органів ЄС на найближчі роки в рамках платформи EMPACT. Ключові висновки однозначні: межа між кіберзлочинністю, організованою злочинністю та гібридними державними загрозами розмивається. ШІ перейшов від статусу перспективного ризику до активного інструменту злочинців. А цифровий простір — це вже не середовище, де злочини лише допомагають скоювати: для дедалі більшої кількості злочинних схем він став єдиним середовищем їхнього існування.

Ця стаття ДНК злочину змінилося: Europol про загрози організованої злочинності в ЄС раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Злочинці сидять в Інтернеті так само, як і ми з вами. Декому цікаво щось зламати, дехто хоче розбагатіти нечесним шляхом, а декому хочеться змінити світ. Одні з них — це “одинокі вовки”, інші об’єднуються в групи, ще інших таємно підтримують держави. Але незалежно від того, ким вони є насправді, завдяки тому, що в Інтернеті нема кордонів, ви так чи інакше потенційно можете зіштовхнутися з злочинцями.

Так само, як Інтернет породив багато нових бізнесів та бізнес-моделей, дозволивши існуючим на той час фірмам комунікувати та торгувати глобально, він породив і нові типи злочинності, яких до того часу не існувало, та дав можливість для трансформації та розквіту існуючих типів злочинності.

Змінювався Інтернет — а разом з ним змінювалася і кіберзлочинність, тому за останні 30 років багато речей встигли розвинутися і практично зникнути. Десять -двадцять років тому кіберзлочинність у більшості випадків була “кібервандалізмом” (сайти знищували просто заради того, щоб комусь щось довести). А зараз більшість злочинів в Інтернеті — економічно мотивована. Так само злочинність еволюціонувала від дій одиноких аматорів та груп “одного дня” до багатошарових структур, дії кожного з прошарків яких несуть реальну небезпеку. Ці групи мають різні цілі, засоби та “спеціалізацію” — і ми тут розповімо про них, щоб ви могли їх розпізнати.

Неорганізована злочинність

Досі основна маса кіберзлочинів є справою рук злочинців, які не входять до стійких угруповань. Їх можна порівняти з вуличними крадіями чи “гопниками”. Дійсно, вони – одинокі злочинці чи дуже невеликі групи. Звичайно це типові “скріпткідді” — такі люди в молоді роки навчаються хакерству як хобі і лише потім вони відкривають, що на цьому можна заробити гроші. Вони не дуже кваліфіковані та використовують безплатні або дуже дешеві засоби — принаймні на форумах у darknet таких програм та інших засобів багато.

Вони можуть купити якусь шпигунську програму для крадіжки даних чи орендувати ботнет на пару днів за кілька сотень доларів для розсилки спаму з вірусами чи шахрайськими пропозиціями. Коли з’явилося доступне ransomware (програми, що блокують комп’ютер і вимагають гроші за розблокування), такі кіберзлочинці вирішили, що це дуже прибуткове заняття. Вони купували такі програми у розробників та за інструкціями намагалися заразити якомога більше комп’ютерів, щоб їм перераховували гроші (часто у криптовалюті). А потім і самі, коли криптовалюти зростали в ціні, писали або купували віруси-майнери, які видобували криптовалюту за рахунок ресурсів зараженого комп’ютера.

Також справою рук представників неорганізованої злочинності є значна частина DDOS-атак, які у даному випадку робляться з метою вимагання грошей, або взагалі погрози вивести з ладу ваш сайт, якщо ви не заплатите злочинцям. Вони можуть бути недосконалими та “старомодними”, але за рахунок чисельності та ініціативності наносять велику шкоду. Індустрія кібербезпеки їх звичайно не випускає за межі масової небезпеки, тому для захисту від них достатньо базових знань — регулярно оновлювати антивіруси, змінювати паролі, користуватися фаєрволом, не натискати на посилання від невідомих осіб, встановлювати двофакторну авторизацію тощо.

Організована злочинність

Це групи із складною, розгалуженою структурою, де на нижчих рівнях (або в якості висококваліфікованих “найманців”) можуть служити і представники попередньої категорії злочинців. Такі угруповання можуть бути високоспеціалізованими — одні створюють шкідливі програми, другі — застосовують їх в кібератаках, треті — отримують за це гроші та намагаються їх відмивати. В центрі мережі звичайно стоїть один лідер, який координує атаки та веде переговори з іншими групами. Є групи, які можуть атакувати банки, юридичні компанії, торгові мережі, і їхні атаки є довгими та цілеспрямованими, на відміну від дещо хаотичних та коротких атак з боку “кріпткідді”.

Як показала одна з операцій Європолу влітку 2018 року, у злочинному угрупованні може бути кілька «відділів», у кожного з яких є своя спеціалізація. Одна група злочинців писала відомі шкідливі програми (Carbanac і Cobalt), друга розповсюджувала фішингові листи для співробітників банків, третя писала ботів для виведення коштів з банкоматів, четверта купувала на виведені гроші криптовалюту та переводила її у спеціально зареєстровані криптогаманці. Ця схема охоплювала 40 країн, а спричинена шкода складала близько 1 млрд. євро. Програми типу ransomware та майнери криптовалют також користуються популярністю у організованої кіберзлочинності. Прийняття нових протоколів захисту персональних даних (GDPR) ускладнило їхню “роботу”, але і може спричинити розвиток нових методів крадіжок даних.

Менш популярні, хоча й досі поширені — “кардерські” схеми. Загалом, вектор діяльності організованих груп зміщується в сторону криптовалют та спорідненого бізнесу, тоді як раніше об’єктами кіберзлочинців були банківські рахунки та інші традиційні фінансові інструменти. Звичайно, ви також можете стати жертвою їхньої діяльності, якщо працюєте в цій сфері. До речі, так само, як важко відрізнити ззовні організовану кіберзлочинність від неорганізованої, так же важко інколи провести кордон між організованою кіберзлочинністю і хакерами на службі у держав (nation-backed hackers), тому що вони часто використовують один і той самий арсенал методів.

Хактивісти

Це окремі особи чи групи, які присвячують свою діяльність якійсь одній темі чи групі тем у громадському чи політичному активізмі (наприклад, Anonymous). Вони не отримують прибутків, не крадуть гроші у тих, кого зламують — їм просто потрібно дістати якусь важливу інформацію для привернення уваги чи посилення суспільного тиску на когось, або на деякий час паралізувати чиюсь діяльність. Тому у них бувають зовсім різні об’єкти атаки — від електронної пошти топ-менеджера компанії і до сервера, на якому є база даних її співробітників, постачальників, клієнтів тощо.

Методи:

• Витік конфіденційної інформації
• Злом урядових сайтів
• Масові атаки на пропагандистські ресурси

Кібертерористичні організації

Щодо реальної загрози класичного кібертероризму, то її вважають дещо перебільшеною. Тому що на сьогоднішній день більшість терористичних організацій не є настільки просунутими навіть у плані комп’ютерної грамотності, а тим більше — в області кібербезпеки. Вони не мають ні кваліфікованого персоналу, ні інфраструктури, ні передових технологій. Скажімо, представники “Ісламської держави” щось з категорії malware могли купувати на “чорному ринку”, але користуватися програмами не змогли б. Релігійне підґрунтя більшості сучасних терористичних організацій не сприяє ні навчанню самих терористів, ні рекрутуванню туди більш-менш обізнаних фахівців, тому там рівень знань — значно нижчий, ніж у “скріпткідді”.

“Державні” хакери

Більшість інцидентів в Інтернеті — це справа рук злочинців, у яких є корисливі мотиви. Але останнім часом стали говорити і про «державних» хакерів, хоча вони в певних колах відомі давно — зокрема, 15 років тому вірусом Stuxnet, створеним за участі спецслужб США та Ізраїлю, була зупинена ядерна програма Ірану.

Багато в чому робота «державних» хакерів є кібершпигунством — вони здобувають секретні дані про військові проекти чи ситуацію в певній державі. Частиною здобутих даних далі користуються спецслужби, частину може отримувати зацікавлений бізнес. В той час, як військова розвідка не є чимось таким, що засуджують, промислове шпигунство — це річ, яка загалом не етична навіть щодо прямих конкурентів (зокрема, у США). Тому справедливі побоювання США стосовно китайських хакерів на державній службі, які небезпечні не стільки у військовій сфері, скільки в промисловості — зокрема в таких галузях, як електроніка, біотехнології, електроенергетика та аерокосмічна індустрія.

Але далеко не всі “державні” хакери крадуть дані про промисловість — були зафіксовані і спроби порушити системи захисту на атомних електростанціях та інших об’єктах критичної інфраструктури. Дехто і видобуває гроші таким чином (як спецслужби КНДР, використовуючи ransomware) і шкодить бізнесу (як та ж сама КНДР вивела з ладу більшість комп’ютерів у Sony Pictures).

А дехто маскується під “невідомих хактивістів”, викладаючи у відкритий доступ приватну інформацію з метою на щось вплинути (як російські спецслужби впливали на результати виборів у США, публікуючи переписки керівництва Демократичної партії). Нарешті, вони можуть вчинити і диверсію (наприклад, захопивши управління шлюзами на дамбі і т.д.). Тому діяльність “державних” хакерів досить різноманітна та небезпечна — і від них захиститися дуже важко. Але мінімізувати шкоду від них можна, шифруючи дані та розбиваючи єдину мережу на підприємстві на кілька підмереж.

Методи атак:

• DDoS-атаки – перевантаження серверів для виведення їх з ладу.
• Кібершпигунство – крадіжка секретних державних або корпоративних даних.
• Атаки на критичну інфраструктуру – енергосистеми, водопостачання, банки.

Інсайдери

А що, якщо ворог не ззовні, а всередині фірми? Не всі злочинці знаходяться ззовні — вони можуть працювати поруч з вами і мати повний доступ до всіх секретів, знати про “діри” в захисті, про те, як обходити всі обмеження. Конфіденційні документи часто зберігаються на незахищених дисках і слабкий контроль за правами доступу часто означає, що незадоволений чимось чи просто продажний співробітник з широкими правами доступу становить велику загрозу для фірми.

Інколи головну роль грають навіть не гроші, а шантаж співробітника злочинцями — якщо ти нам не будеш надавати інформацію з роботи, ми опублікуємо твоє “домашнє порно”. Тому розвідслужби регулярно попереджають свої держави про пастки, розставлені на співробітників посольств, а тих, хто має доступ до конфіденційної інформації, регулярно перевіряють. Зокрема, це стосується ІТ-персоналу.

Невизначеність кордонів

В реальності це все ще складніше — все накладається одне на одне. І інструменти, і люди, які ними користуються. Члени організованих угруповань можуть користуватися програмним забезпеченням «державних» хакерів, а «державні» хакери попутно можуть викрадати гроші з банків держави, проти якої йде спецоперація. А якщо інструментарій один раз виклали в мережу, то ним починає користуватися вся спільнота, від професіоналів високого рівня до “скріпткідді”. Все це піднімає ціну кібербезпеки для бізнесу — як і в випадку інших злочинів, подолання наслідків зламів обходиться значно дорожче, ніж їхнє попередження чи навіть те, що злодії можуть вкрасти (а якщо порівняти ціну виконання таких дій із ціною подолання наслідків, то тут різниця, як мінімум, у два порядки).

Тому за дослідженнями IBM Security та Ponemon Institute, середня ціна навіть порівняно невеликого витоку інформації (від 2500 до 100 тис облікових записів) складає 3,87 млн дол, а великі витоки обходяться як мінімум у 40 млн дол. Зміни у законодавстві ще більше збільшують ціну витоку інформації — скажімо, за новими європейськими стандартами захисту персональних даних (GDPR), за кожен випадок витоку передбачений штраф (незалежно від причин). Тому, за підрахунками компанії Gartner, світові витрати на кібербезпеку цього року сягнуть 114 млрд дол, а наступного року — зростуть до 124 млрд дол(через управління ризиками та підвищену увагу до захисту персональних даних). Кіберзлочинці також не стоятимуть осторонь, а будуть тільки вдосконалювати свої навички. На боротьбу з кіберзлочинністю, так чи інакше, доведеться витрачатися — але краще на попередження злочинів, ніж на ліквідацію наслідків.

Ця стаття Кіберзлочинність та кібервійна: хто і як може атакувати вас раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Після того, як у минулому році виплати операторів програм-вимагачів склали 350 мільйонів доларів, фахівці у галузі кібербезпеки вирішили зануритися у вивчення цієї проблеми.

Так з’явився новий веб-сайт, який допомагає зрозуміти, куди йдуть сплачені жертвами шифрувальників викупи. Ресурс отримав назву Ransomwhere, а створив його експерт Джек Кейбл.

Цей фахівець відомий тим, що консультував Агентство з питань кібербезпеки та захисту інфраструктури (CISA) США напередодні виборів президента у 2020 році. Також Кейбл витратив роки на пошук уразливостей і Red Teaming: експерт, виконував роль хакера, допомагаючи організаціям виявляти слабкі місця та усувати їх.

В інтерв’ю виданню TechCrunch, Кейбл підкреслює, що на створення Ransomwhere його підштовхнув твіт, у якому фахівець Red Canary Кеті Нікельс говорить приблизно наступне:

“Нікто не знає істинних втрат від чинних програм-вимагачів і ботнетів”.

Саме так у Кейбла народилася ідея створення сайту Ransomwhere, який відслідковує усі платежі жертв кібервимагачів.

На сьогодні онлайн-проект експерта зафіксував виплат на суму понад $56 мільйонів. Поки лідерство тримає Netwalker – понад 520 платежів.

Найбільший викуп, який вдалося відстежити на даний момент, складає 413 біткоїнів ($14 млн). Саме таку суму заплатила одна з жертв програм-вимагача RagnarLocker у липні 2020 року.

Усі зібрані Ransomwhere дані доступні іншим спеціалістам у галузі кібербезпеки, відповідну базу можна безкоштовно завантажити та проаналізувати. Жодна інформація про жертв кібератак не передається.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

FaceTime для Windows: як користуватися – ІНСТРУКЦІЯ

Чому перевірка готовності Вашого ПК до Windows 11 видає неможливість встановлення?

Як безпечно користування соціальними мережами? ПОРАДИ

В Україні поширюється онлайн-грумінг: як захистити Ваших дітей? ПОРАДИ

Що можуть Google та Apple віддалено зробити з Вашим смартфоном?

Як “скинути” рекламний ідентифікатор на Android? ІНСТРУКЦІЯ

До речі, Google видалила з Play Store дев’ять Android-додатків, в цілому завантажених 5,8 млн разів, що, як виявилося, викрадали облікові дані користувачів для авторизації в Facebook.

Щоб виявити, які пристрої “розумного” будинку атакують найбільше, експерти налаштували і підключили до Інтернету уявний “розумний” будинок, що містив різні пристрої – від смарт-телевізорів і термостатів до камер відеоспостереження, принтерів і “розумних” чайників.

Винахідник інтернету сер Тім Бернерс-Лі продав на аукціоні Sotheby’s оригінальний код, за допомогою якого він колись створив Інтернет.

Окрім цього, компанія Apple 30 червня відкрила офіційний офіс в Україні – компанія планує самостійно ввозити техніку в Україну та контролювати магазини офіційних дилерів, які надають послуги компанії в Україні.

Ця стаття Винайшли спосіб знаходити сплачені жертвами програм-вимагачів мільйони раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Зашифрований месенджер під назвою Anom, що використовувався різними злочинними угрупованнями, був створений та контролювався  Федеральним бюро розслідувань під час багаторічної міжнародної операції з протидії організованій злочинності. Правоохоронні органи по всій Європі, США та Океанії недавно розсекретили походження Anom, заявивши, що заарештували 800 підозрюваних у кримінальних злочинах на основі перехоплених повідомлень. Про це пише TheVerge.

Згідно з публічними заявами, ФБР та інші відомства  розповсюджували “захищені” телефони з месенджером Anom серед підозрюваних в участі в злочинних синдикатах, поступово будуючи мережу приблизно з 12000 загальних (і 9000 активних) пристроїв. Телефони таємно передавали спецслужбам 27 мільйонів повідомлень між 2019 і 2021 роками, що призвело до операції Greenlight/Trojan Shield – масштабної операції, в ході якої  вилучили близько 8 тон кокаїну, 22 тони марихуани та продуктів її переробки, 250 одиниць вогнепальної зброї та 48 мільйонів доларів у традиційній валюті та криптовалюті.

Шеймус Хьюз, дослідник Університету Джорджа Вашингтона, запропонував більше деталей із судових протоколів. Як він повідомляв, Anom вивели на ринок у 2018 році після того, як поліція закрила Phantom Secure – мережу зашифрованих пристроїв, яку в основному використовують (за винятком ФБР) наркоторговці та інші організовані злочинці. Неназваний інформатор, який раніше продавав телефони з Phantom Secure, повідомив ФБР, що вони будують зашифрований пристрій під назвою Anom  – шифрований месенджер “наступного покоління”. Інформатор запропонував систему ФБР та Федеральній поліції Австралії в обмін на зменшення покарання за кримінальним обвинуваченням, а потім погодився продати телефони Anom їхній існуючій розподільчій мережі, яка обслуговувала організовану злочинність, надаючи новій системі гарантії довіри.

Таємно від покупців, кожне повідомлення Anom включало “головний ключ”, який дозволяв правоохоронним органам розшифровувати його вміст, і кожен пристрій прив’язував фіксований ідентифікаційний номер до будь-якого імені користувача, яке вибрав власник. Повідомлення таємно направлялися на сервери, до яких ФБР, а також AFP та пізніше інші поліцейські органи, могли отримати доступ. У матеріалах слідства, які оприлюднені в судах, наводяться приклади цих повідомлень, включаючи фотографії пакетів кокаїну та розмови про те, як контрабандно перевезти партії наркотиків.

Більшість ранніх користувачів Anom знаходилися в Австралії. Але в підсумку мережа охопила 90 країн, найбільше користувачів – з Німеччини, Нідерландів, Іспанії, Австралії та Сербії. Його популярність різко зросла на початку 2021 року, коли правоохоронні органи закрили Sky Global, ще один сервіс із зашифрованими повідомленнями. У прес-релізі Європолу йдеться про те, що 300 злочинних синдикатів використовували пристрої Anom, зокрема “італійська організована злочинність, банди байкерів-злочинців та міжнародні організації з незаконного обігу наркотиків”.

Окрім прямих перехоплень, зроблених за даними Anom, ФБР описало Anom як крок до “похитування довіри до всієї цієї галузі” зашифрованих пристроїв. Поліція намагалася влаштувати бекдори як для служб обміну повідомленнями загального призначення, так і спеціально для злочинів, і захопила такі платформи, як веб-майданчики у даркнеті, щоб викрити незаконну діяльність – але рідше трапляється, коли спецслужба допомагає запустити нову телефонну мережу для цієї мети.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як виявити та чому краще не сперечатися з “тролями”? ПОРАДИ

Правила безпеки дітей в Інтернеті

Як захистити підлітків від інтернет-шахраїв? ПОРАДИ

Як зберегти заряд батареї на Вашому iPhone? ПОРАДИ

Як користуватись Google Docs? ІНСТРУКЦІЯ

До речі, Google планує ускладнити Android-додаткам відстеження користувачів. Компанія анонсувала зміни в те, як обробляються унікальні ідентифікатори пристроїв, що дозволяють відстежувати їх між додатками.

Також Apple має намір випустити оновлення для своїх пристроїв, після якого вони дозволять користувачам дізнаватися, яку саме інформацію про них збирають додатки.

Microsoft детально розповість про “наступне покоління Windows” на спеціальному заході, який відбудеться в кінці цього місяця. Компанія почала розсилку запрошень на захід, який буде повністю присвячено програмній платформі Windows і почнеться о 18:00 (за київським часом) 24 червня.

Окрім цього, зловмисники поширюють шкідливе ПЗ під виглядом популярних Android-додатків від відомих компаній. Підроблений плеєр VLC, антивірус Касперського, а також підроблені додатки FedEx і DHL встановлюють на пристроях жертв банківські трояни Teabot або Flubot, вперше виявлені раніше в цьому році.

Ця стаття Створений ФБР месенджер дав змогу затримати одразу 800 злочинців раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Фішинговий сайт, який імітує Єдиний державний веб-портал електронних послуг “ДІЯ”, виявили фахівці Урядової команди реагування на комп’ютерні надзвичайні події України (CERT-UA).

Фішинговий сайт знаходиться за адресою hXXps://diia8000gov[.]me, у той час як справжній ресурс знаходиться тут: https://diia.gov.ua/.

Як повідомляють у CERT-UA, за допомогою підробного сайту зловмисники збирають дані кредитних карток та ідентифікаційні коди громадян України.

На головній сторінці фішингового сайту користувачам пропонують ввести ІПН для перевірки інформації про можливість отримання виплати 8 тисяч гривень під час обмежувальних заходів у зв’язку з COVID-19.

Після введення будь-якої інформації на головній сторінці користувачі перенаправляються на сторінку hXXps://diia8000gov[.]me/result.html, де вказано, що “Вам доступна виплата у розмірі 8 000грн”.

Потім користувач перенаправляється на сторінку hXXps://diia8000gov[.]me/merch.html, на якій пропонується ввести дані своїх кредитних карток. Далі дані кредитної картки потрапляють до зловмисників.

Якщо Ви стали жертвою такого фішингу і ввели дані своєї кредитної картки, Вам потрібно негайно повідомити про це представників Вашого банку.

Контакти CERT-UA:

• email: cert@cert.gov.ua;
• телефон: (044)-281-88-05 (044)-281-88-25 (044)-281-88-01(цілодобово);
• Форма на сайті https://cert.gov.ua/contact-us.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ

Як захистити Вашу конфіденційність в Інтернеті, якщо режим анонімного перегляду у Chrome виявився слабким?

Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?

Злам веб-сайту: сім ознак, що свідчать про це

Як підвищити захист екаунта в Twitter? ПОРАДИ

Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.

Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.

Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.

До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.

Ця стаття Будьте уважні – виявили фішинговий сайт, який імітує портал “ДІЯ” раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт.

Про це повідомляє Департамент кіберполіції Національної поліції України.

Так, двоє жителів Кривого Рогу віком 31-32 роки на сайтах мобільних операторів обирали номери доступні до купівлі. Серед пропозицій вишукували ті, які були раніше вказані у базах юридичних осіб, або на платформах оголошень.

Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.

Зібравши необхідну інформацію – фігуранти отримували доступ до систем онлайн-банкінгу.

Крім цього, зловмисники перекуповували у колекторських та мікрофінансових організацій бази даних громадян, зокрема, скан-копії їхніх документів, та оформлювали на них онлайн-кредити. Працівники поліції перевіряють причетність вказаних організацій до протиправної діяльності.

Привласнені гроші фігуранти переводили на підконтрольні картки та обготівковували у банкоматах міста. Загальна сума збитків сягає понад 600 тисяч гривень.

В оселях зловмисників правоохоронці провели обшуки, за результатами яких вилучено понад 300 сім-карток, 90 банківських карток, паспорти громадян України, мобільні телефони, ноутбук та “чорнові” записи.

Також правоохоронці вилучили зброю, набої та речовину рослинного походження, які направили на проведення експертних досліджень. Після висновків експертизи буде вирішуватися питання про відкриття кримінального провадження.

Кримінальне провадження розслідується за ч. 3 ст. 190 (Шахрайство) Кримінального кодексу України. Санкція статті передбачає до восьми років позбавлення волі.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.

Ця стаття Через доступ до онлайн-банкінгу шахраї спустошили гаманці українців на 600 тисяч гривень раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Експерти з питань безпеки заявили, що фальшива Google reCAPTCHA зараз стає дедалі розповсюдженою. Вони попереджають, що на даний час діє нова фішинг-кампанія, яка використовує фальшиву Google reCAPTCHA.

Згідно з останнім звітом Bank Info Security, фальшива Google reCAPTCHA дозволяє зловмисникам викрадати облікові дані у старших співробітників різних організацій. Охоронна фірма Zscaler – перша, хто відкрив цю нову техніку. Компанія заявила, що зупинила понад 2500 фішинг-листів, що були націлені на неї. Дослідники з питань безпеки додали, що поточна фішинг-атака діє з грудня 2020 року і в основному націлена на старших працівників банківського сектору, пише Tech Times.

Як працює підроблена Google reCAPTCHA?

Техніка зламу працює, коли хакери та інші зловмисники в Інтернеті надсилають фішинг-повідомлення своїм жертвам. Ці повідомлення, ймовірно, надходять від єдиної системи зв’язку, що використовується для впорядкування корпоративного спілкування, вони також містять шкідливі вкладення в електронній пошті.

Жертви перенаправляються на фішинг-домен “.xyz”, який маскується під законну сторінку Google reCAPTCHA, коли вони відкривають вкладений HTML-файл. Цей процес спеціально створений, щоб обдурити тисячі користувачів.

Після цього жертви переходять на підроблену фішинг-сторінку для входу в Microsoft після перевірки reCAPTCHA. Потім хакери викрадають облікові дані, як тільки користувачі вводять їх на підроблений веб-сайт. Далі кіберзлочинці надсилають фальшиве повідомлення із підписом “перевірка успішна”, що робить процес більш правдоподібним.

Чому саме reCAPTCHA?

Спеціалісти пояснили, що reCAPTCHA є важливою, оскільки вона запобігає різним видам спаму. Вона вважається поширеним інструментом на онлайн-формах, який запобігає потраплянню спаму та зловживанню можливостями веб-сайту. Це також інструмент, який дозволяє веб-сайту дізнатися, чи користувач, який звертається до їхніх послуг, є людиною чи машиною.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Signal чи Telegram: який додаток кращий для чату?

Топ-7 альтернативних месенджерів на заміну WhatsApp

Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ

Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19

Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ

Як позбутися WhatsApp на Android та iOS? – ІНСТРУКЦІЯ

Як анонімно користуватися Signal або Telegram? ПОРАДИ

Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.

Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple Mac. Він отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.

Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.

Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.

До речі, нещодавно виявлена ​​фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.

Ця стаття Фальшиву Google reCAPTCHA хакери використовують у новій фішинг-атаці раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Платформу для розробки корпоративних додатків Google Apps Script почали використовувати для крадіжки даних банківських карт. Постраждали в цій кампанії ті, хто надає перевагу онлайн-шопінгу, та відвідувачі інтернет-магазинів.

Зокрема, хакери використовують домен script.google.com, який допомагає їм приховати дії від сканерів шкідливих програм та обійти Content Security Policy (CSP, політика захисту контенту), пише Bleeping Computer. Кіберзлочинці зробили ставку саме на цей домен, тому що онлайн-магазини довіряють йому.

За замовчуванням торгові майданчики заносять всі піддомени Google в “білі” списки. Заручившись таким прикриттям, зловмисники впроваджують веб-скімер, який націлений на пошук платіжної інформації покупців. Як правило, це JavaScript-код, встановлений безпосередньо у веб-сторінки магазину.

Як тільки зловмисники вмонтують такий скрипт в магазин, вони зможуть перехоплювати дані, які вводить користувач – як платіжну, так і особисту інформацію. Здобуті відомості відправляють на сервер зловмисників.

Схема з Google Apps Script привернула увагу дослідника у галузі кібербезпеки Еріа Брандела. За його словами, спочатку вкрадені дані відправляли в додаток Google Apps Script через домен script [.] Google [.] Com як кінцеву точку. Далі інформацію перенаправляли на інший сервер хакерів – analit [.] Tech, який розташовувався в Ізраїлі.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття Шкідливі веб-скімери потрапляють в онлайн-магазини через платформу Google раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Групу хакерів з України, які здійснювали масові втручання в роботу серверів компаній європейських країн та США та вимагали кошти за викрадену інформацію, викрили правоохоронці.

Про це йдеться у повідомленні прес-служби Офісу Генерального прокурора.

Так, за даними слідства, з вересня 2020 року група хакерів з України, використовуючи шкідливе програмне забезпечення, а саме так звану програму-вимагач “Egregor Ransomware”, призначену для викрадення персональних даних, паролів, логінів та платіжних даних, здійснювала масові втручання в роботу серверів компаній США та країн Європи.

За нерозголошення викрадених конфіденційних даних та дешифрування уражених комп’ютерних мереж хакери вимагали значні грошові кошти.

За попередніми даними, з використанням вірусної програми було уражено близько 150 іноземних компаній. Збитки від діяльності угруповання сягають 80 млн доларів США.

У межах досудового розслідування проведено обшуки на території м. Києва, у ході яких виявлено та вилучено комп’ютерне та серверне обладнання, за допомогою якого хакерами здійснювалася протиправна діяльність.

Спільну операцію з викриття хакерів було проведено у координації з представниками правоохоронних органів США та Франції. Наразі учасникам групи, в тому числі організатору, повідомлено про підозру за ч. 2 ст. 189, ч. 2 ст. 361 КК України.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття У Києві викрили хакерів, які атакували компанії Європи та США вимагацьким ПЗ раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

У шантажі та створенні порнографічного контенту із зображенням клієнтів-боржників викрили злочинну групу колекторів. Зловмисники надавали кредитні послуги, а у разі несплати позики – шантажували клієнтів шляхом розсилки у месенджерах протиправного контенту та погрожували фізичною розправою.

Про це йдеться у повідомленні прес-служби Департаменту кіберполіції Національної поліції України.

Правоохоронці встановили, що учасниками злочинної схеми були понад 30 осіб. Фігуранти створили дві фінансові компанії, що надавали кредити. Серед співробітників компаній були також колектори, які займалися шантажем клієнтів-боржників.

Зловмисники за допомогою фоторедакторів виготовляли порнографічний контент із зображенням позичальників або їхніх родичів. Далі – погрожували розповсюдити такі матеріали та вчинити фізичну розправу.

За попередніми підрахунками, зловмисники здійснили понад 360 тисяч погроз громадянам із різних регіонів України.

Працівники поліції провели 50 обшуків в офісах компаній, квартирах та автомобілях фігурантів. За результатами вилучено мобільні телефони, комп’ютерну техніку, серверне обладнання та “чорнові” записи. Обшуки одночасно проходили на території Київської, Харківської, Вінницької, Сумської областей та у столиці.

Відкрито кримінальне провадження за ч. 4 ст. 189 (Вимагання) та за ч. 3 ст. 301 (Ввезення, виготовлення, збут і розповсюдження порнографічних предметів) Кримінального кодексу України. Зловмисникам загрожує до дванадцяти років позбавлення волі з конфіскацією майна.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.

Ця стаття Викрили колекторів, які виготовляли порно-контент та у месенджерах шантажували божників раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

У рамках міжнародної спецоперації кіберполіцією  України із залученням колег з правоохоронних органів Німеччини, США, Великобританії та Нідерландів було викрито та заблоковано діяльність транснаціонального хакерського злочинного угруповання, яке розповсюджувало найнебезпечніше та найстійкіше вірусне програмне забезпечення.

Як поширювалось шкідливе ПЗ?

Інфраструктура Emotet включала сервери, розташовані у всьому світі. “Вірус” поширювався шляхом спам-розсилок, через документи Word, Excel тощо. Електронні листи виглядали як попередження про безпеку облікового запису, запрошення на вечірку і навіть як застереження від поширення COVID-19, йдеться у повідомленні Департаменту кіберполіції Національної поліції України.

Проникнувши у програмне забезпечення, вірус використовував “інфіковану” техніку для подальшої розсилки, а також встановлював на пристрій додаткові віруси. У результаті шкідливе програмне забезпечення викрадало персональні дані користувачів, зокрема паролі, логіни, історію браузера, платіжні та банківські дані тощо. У подальшому зловмисники перераховували гроші на свої підконтрольні рахунки.

Ботнет завдав збитків на 2,5 млрд доларів

Під час слідчих дій встановлено двох громадян України, які забезпечували належну роботу інфраструктури розповсюдження вірусу та підтримували його безперебійну діяльність.

“Локомотивом проведення операції виступають українські правоохоронці, а роль координаторів виконують Європол та Євроюст. На даний час підтверджено, що вірус завдав збитків банкам і фінансовим установам США та Європи на  2,5 мільярда доларів”, – зазначив перший заступник начальника Департаменту кіберполіції Національної поліції України Сергій Кропива.

Мережа налічувала понад 90 серверів

Кіберполіцейські спільно з правоохоронцями іноземних держав одночасно провели обшуки на території України, Нідерландів, Німеччини, Франції, Литви, Канади, США та Великобританії.

За результатами вилучено серверне обладнання, комп’ютерну техніку, носії інформації, що містять відомості про компанії, на які здійснювалися кібератаки.

Також вилучено банківські картки, гроші, “чорнові” записи з паролями, логінами та ключами до закриптованих сервісів. Наразі повністю заблоковано діяльність ботмережі Emotet, яка розташовувалася на понад 90 серверах у різних країнах світу.

Що загрожує хакерам?

Розслідується кримінальне провадження за ст. 361 (Несанкціоноване втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку), ст. 361-1 (Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів),  та за  ст. 190 (Шахрайство) Кримінального кодексу України. Зловмисникам загрожує позбавлення волі на строк до дванадцяти років з конфіскацією майна.

Також встановлено інших учасників міжнародного хакерського угруповання, які використовували інфраструктуру ботмережі Emotet для проведення кібератак. Проводяться заходи для їх затримання.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.

Ця стаття Кіберполіція допомогла знищити ботнет, який поширював найнебезпечніший у світі вірус раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар