СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.10.2025
#ИБ#Инфра

Операция «Эндшпиль»: сдвиг в экосистеме киберпреступности России

Операция Эндшпиль: сдвиг в экосистеме киберпреступности России

Ситуация с киберпреступностью в России стремительно трансформируется. Запущенная в мае 2024 года международная правоохранительная инициатива — операция «Эндшпиль» — сфокусировалась на ключевых звеньях экосистемы программ-вымогателей: операторах, службах по отмыванию денег и сопутствующей инфраструктуре. Результатом стал заметный сдвиг от традиционной политики невмешательства к более активному, выборочному правоприменению.

Что предприняли правоохранительные органы

Операция «Эндшпиль» затронула как крупные бренды вымогателей, так и инфраструктурные узлы, обеспечивавшие их деятельность. В числе наиболее заметных мер:

  • прямые действия против операторов и групп, связанных с Conti и её филиалами (например, Trickbot);
  • рейды и аресты сервисов, участвовавших в отмывании доходов — в частности, Cryptex, которому приписывают отмывание свыше миллиарда долларов;
  • воздействие не только на исполнителей атак, но и на посредников и вспомогательную инфраструктуру, обеспечивающую деятельность программ-вымогателей.

Новые признаки взаимодействия преступного мира и государства

Ранее в российской модели наблюдалась фактически «политика невмешательства»: многие акторы подполья действовали под негласной защитой. Однако анализ, собранный в рамках исследований (включая систему «Dark Covenant»), показывает, что отношения между государством и криминальными группами становятся более избирательными и стратегическими.

Кратко о характере этих изменений:

  • переход к избирательной защите наиболее полезных для государственных интересов групп;
  • устранение «ненужных» узлов инфраструктуры, которые создают риски или политическое неудобство;
  • использование отдельных киберфилиалов в качестве инструментов внешней политики и геополитического давления.

Как меняется оперативная практика самих преступников

Под давлением правоохранительных мер и внешних усилий кремнистая среда подполья адаптируется. Главные направления изменений:

  • рост паранойи и уход от централизованных моделей в пользу децентрализации, чтобы снизить эффект от точечных рейдов;
  • снижение доверия к партнёрским сетям: операторы становятся более избирательными при наборе партнеров и сотрудников;
  • появление новых тактик — в частности, переход к моделям вымогательства данных вместо традиционной установки ransomware;
  • возникновение групп по имперсонации известных брендов вымогателей, что подрывает доверие к именитым «маркам» и стимулирует закрытые, проверенные сообщества;
  • расширение практик анонимности и использование децентрализованных коммуникационных платформ для противодействия попыткам деанонимизации.

Последствия и динамика дальнейших изменений

Успешные рейды операции «Эндшпиль» продемонстрировали: даже централизованные преступные структуры уязвимы перед целенаправленными действиями правоохранительных органов. В ответ подполье обретает новые формы устойчивости, но менее предсказуемые и более фрагментированные.

Ключевые последствия, вытекающие из текущей трансформации:

  • среда для киберпреступности будет скорее развиваться и эволюционировать, чем просто сокращаться;
  • главная тенденция — сочетание избирательной «защиты» особо ценных акторов с уничтожением опасных или ненужных инфраструктурных узлов;
  • обострение внутренней конкуренции и недоверия в преступных кругах приводит к увеличению числа мелких, автономных групп и новых моделей дохода;
  • правоохранительные успехи стимулируют как адаптацию тактик, так и усиление безопасности коммуникаций у преступников.

Вывод

Операция «Эндшпиль» стала катализатором значительных изменений в российской киберпреступной экосистеме. Несмотря на то, что крипо- и кибропреступность остаются адаптивными и устойчивыми, текущий период можно охарактеризовать как фазу перестройки: комбинирующееся внешнее давление и внутренние сдвиги в управлении создают более фрагментированную, избирательную и менее предсказуемую среду.

Важно понимать, что эти процессы не означают немедленного исчезновения угроз: они меняют форму, способы взаимодействия и риски — как для бизнеса и критической инфраструктуры, так и для государственных структур и расследований.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: