ЕС и Великобритания ударили санкциями по российским хакерам — риски есть и для граждан РФ

Изображение: recraft
Европейский союз вместе с Великобританией пополнили санкционные перечни фамилиями российских хакеров, участников киберкоманд и компаниями рядом с ними. По мнению европейских ведомств, попавшие под ограничения люди причастны к цифровому шпионажу, распространению вредоносов и атакам на инфраструктуру. Для российских пользователей тема тоже болезненная — те же инфостилеры бьют по кошелькам и аккаунтам граждан РФ, а не только европейцев.
Совет ЕС объявил об ограничениях против девяти физлиц и четырёх структур. Британцы собрали свой пакет — туда попали 24 человека и организации. В европейских бумагах утверждается, что часть фигурантов руководила хакерскими операциями и координировала исполнителей далеко за пределами российских границ.
В опубликованных списках названы Вячеслав Стафеев, Иван Сенин и Иван Касьяненко. Британская сторона привязывает их к управлению киберкампаниями и гибридными операциями. Под ограничения попали и люди, стоящие за проектом IMPULS — им приписывают вербовку молодых айтишников из российских вузов для работы в хакерской среде.
Отдельный блок посвящён вредоносу Lumma Stealer. Программа собирает сохранённые пароли, куки, содержимое криптокошельков и данные браузеров. Российские граждане — такая же добыча для операторов стилера, как и жители любой другой страны, потому что вредонос не смотрит паспорт жертвы.
По подсчётам британцев, за полгода Lumma Stealer мог зацепить не менее 2100 человек в самой Великобритании. Похищенные сведения уходят на:
- захват аккаунтов в почте, соцсетях и мессенджерах;
- обход двухфакторной авторизации через угнанные сессионные куки;
- вывод денег с криптокошельков и брокерских сервисов;
- подготовку следующих проникновений в корпоративные сети;
- перепродажу доступов на закрытых форумах.
Отмечается, что операторы стилеров работают по модели подписки — покупатель платит ежемесячную сумму, получает свежие сборки и статистику по жертвам. Российские клиенты у таких сервисов тоже есть.
В санкционный перечень внесли десяток человек, связанных с медиакомпанией Rybar LLC. Европейцы обвиняют их в распространении антиукраинских материалов и попытках влиять на политику в Молдове и Армении.
Заметное место в европейском заявлении отдано группе Turla. Её людям приписывают многолетние кампании против государственных сетей, оборонных структур и объектов инфраструктуры в Европе. По версии еврочиновников, связанные с Turla операторы работали во Франции, Германии, Польше, Нидерландах, Австрии, Румынии, Финляндии, Словакии и на Кипре.
Люди из Turla славятся сложными цепочками проникновения, скрытным присутствием внутри сетей и вниманием к закрытой служебной информации. Вместо шумного шифрования дисков и требований выкупа такие команды предпочитают долго сидеть тихо и потихоньку собирать данные.
Европейские власти привязали российских хакеров к попытке вмешательства в польскую критическую инфраструктуру. Под удар попали объекты энергетики, в том числе теплоэлектростанции. По приведённой оценке, при удачном для атакующих раскладе проблемы могли достаться примерно 500 тысячам жителей.
В конце декабря атака зацепила десятки объектов польской энергосистемы. Часть промышленного оборудования получила серьёзные повреждения. Несмотря на ущерб, свет удалось сохранить. Позже исследователи связали эпизод с группировкой Sandworm — атакующие пытались запустить разрушительную программу DynoWiper.
Такой вредонос работает как цифровой молоток:
- не торгуется и не показывает окно с таймером;
- не предлагает купить расшифровщик;
- затирает данные на дисках;
- ломает конфигурации промышленных контроллеров.
Отдельный эпизод произошёл вокруг Национального центра ядерных исследований Польши. Хакеры попробовали дотянуться до ИТ-инфраструктуры учреждения. Польская сторона отрапортовала, что атаку заблокировали.
Санкции подразумевают заморозку активов на территории ЕС и Великобритании, запрет предоставлять деньги фигурантам и ограничения на въезд. Для участников теневого рынка такие меры осложнят расчёты и работу с посредниками.
Уточняется, что техническая деятельность хакерских групп после публикации списка вряд ли встанет на паузу — команды умеют менять инфраструктуру, регистрировать новые домены и подтягивать подставные учётки.
Для рядовых российских пользователей санкционная сводка несёт практический сигнал. Инфостилеры вроде Lumma не различают национальность жертвы — украденные пароли от Госуслуг, банковских кабинетов, маркетплейсов и рабочих аккаунтов уходят на те же торговые площадки, что и данные европейцев. Заражённые пиратские сборки программ и якобы бесплатные активаторы Windows раздают вредонос в промышленных масштабах.
Российским пользователям стоит держать в голове базовый набор мер:
- хранить пароли в отдельном менеджере, а не в браузере;
- подключить двухфакторную авторизацию к почте, банкам и Госуслугам;
- не запускать пиратские сборки и активаторы из непонятных источников;
- периодически проверять активные сессии в аккаунтах;
- регулярно обновлять операционную систему и антивирусные базы.
Редакция CISOCLUB считает этот пакет санкций логичным шагом европейской стороны, но одновременно и признаком того, что классические меры против киберпреступности упираются в потолок. Персональные ограничения бьют по конкретным фамилиям, а сама модель работы группировок построена на текучести кадров и распределённой инфраструктуре.
По оценке нашей экспертной редакции, куда серьёзнее для операторов Lumma Stealer будут удары по платёжной инфраструктуре и криптообменникам, через которые идут их деньги. Российским пользователям и корпоративным заказчикам советуем не воспринимать санкционные новости как чужую тему — тот же стилер, что охотится за паролями европейцев, отлично работает и на российских машинах. Разумная стратегия состоит в пересмотре парольной политики, аудите теневого ИТ внутри компаний и отказе от привычки хранить всё чувствительное прямо в браузере.



