- Сообщения
- 8.459
- Реакции
- 11.108
В отличие от уличных группировок девяностых, современные восточно‑европейские банды зарабатывают в скрытых сетях Tor, I2P и закрытых Telegram‑чатах. В статье собраны наиболее влиятельные кибер‑ОПГ региона, за исключением тех группировок, о которых уже шла речь ранее. Вместо этого мы смотрим на менее освещённые, но не менее опасные формирования из Белоруссии, Украины, Молдовы, Сербии, Болгарии, Латвии и Литвы.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
1. Почему именно Восточная Европа
Регион сочетает техническую экспертизу, доступную инфраструктуру и правовой вакуум:
- Наследие инженерного образования. Университеты Восточной Европы, особенно в Польше, Украине, Литве и Латвии, с советских времен славятся сильной математической и программной подготовкой. Ежегодно выпуск более 10 000 новых специалистов в области IT создаёт пул кандидатов, готовых к высокотехнологичным задачам. Однако средние зарплаты в регионе (от 15 000 до 30 000 € в год) значительно ниже, чем в Западной Европе, что побуждает выпускников искать «дополнительные заказы» в теневой сфере.
- Дешёвый и скоростной интернет.Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.Это позволяет киберпреступникам управлять ботнетами, фишинговыми инфраструктурами и NFT-прачечными с минимальными задержками и затратами.
- Коррупционный «зазор» и офшорная лёгкость. Индекс восприятия коррупции (CPI) в большинстве стран региона держится ниже 50/100 (например, Болгария - 42, Румыния - 46), что облегчает получение лицензий на компании‑«прокладки», регистрацию виртуальных офисов и номинальных директоров. Через такие структуры легко проводить отмывку выручки: фиктивные контракты на оказание IT‑услуг или «маркетинговых» кампаний маскируют реальные потоки.
- Пробелы в экстрадиции и различия законодательства. Беларусь, Сербия, Молдова и Болгария часто задерживают или вовсе не передают своих граждан на запросы по «кибер‑статьям». До 2022 года некоторые киберпреступления не классифицировались как тяжкие, а штрафы за них ограничивались условными сроками. Это создаёт убежище для операторов C2‑серверов и админов фишинговых платформ.
На стыке профессиональных IT‑кадров, доступной технической базы и правовых лазеек Восточная Европа становится мощным экспортёром кибер‑услуг: от банкинг‑троянов и DDoS‑атак до отмывания криптовалюты и продажи утекших данных. ---
2. Таблица активных групп (2025)
Название (алиасы) | Страна ядра | Профиль | Прибыль 2024 | Ключевой «продукт» |
|---|---|---|---|---|
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
| Россия | RaaS, банковские трояны | > 100 млн USD | Dridex → BokBot, BitPaymer forks |
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
| Украина/Россия | POS‑инфекции, BEC | ≈ 60 млн USD | Carbanak Suite, VOIP‑BEC |
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
| Россия/Латвия | ATM jackpotting | 4 млн USD | «Rapid SEPA» via SWIFT |
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
| Группа не известна. Цель - Росиийские компании | Ransomware + Phishing | 18 млн USD | IceLoki locker, Zodiac phish‑kit |
RaaS — сдача шифровальщика «в аренду»; BEC — компрометация деловой переписки.
3. Evil Corp - «доктор Dridex» без права на выкуп
2014. Группа молодых администраторов из IT‑коллегий создаёт первый вариант банковского трояна Dridex. Поначалу зловред распространялся через фишинговые письма, замаскированные под счета от европейских поставщиков. К 2015 году бот‑нет Dridex уже насчитывал более 500 000 заражённых ПК в 80 странах, ежедневно похищая данные банковских карт и переводя миллионы долларов на «дроп»‑счета.
2017–2019. После краха DynDNS и усиления защиты пользователей Dridex эволюционировал в гибридную платформу: модульная архитектура позволила добавить функции обхода двухфакторной аутентификации и автоматизированного снятия криптовалюты через P2P‑площадки. Параллельно Evil Corp запускает BitPaymer — собственный шифровальщик, требующий выкуп в среднем 500 000 USD за атаку на корпоративные сети.
2020–2022. Dridex и BitPaymer продолжают развиваться: появляются мобильные модули для Android‑банкинга, встроенные эксплойт‑киты и автоматические механизмы смены C2‑серверов каждые 24 часа. По оценкам аналитиков Group‑IB, к середине 2021 года совокупный ущерб от Dridex‑кампаний превысил 1,2 млрд USD.
2023. Министерство финансов США и OFAC включают ключевых операторов Evil Corp и их виртуальные адреса в SDN List, запрещая американским организациям любое взаимодействие с их счетами. Это стало первым случаем применения финансовых санкций как инструмента борьбы с киберпреступностью. Несмотря на давление, Evil Corp меняет бренды на LockBit East, сохраняя ту же модульную телеметрию и механизмы обхода санкций.
Dridex навсегда изменил модель банковского трояна, а BitPaymer стал одним из первых успешных RaaS‑продуктов. Современные атаки Evil Corp сочетают многоступенчатый фишинг, прокси‑сети, краудсорсинг дешёвых «дроп»‑машин и сложные схемы легализации выкупа через крипто‑миксеры и офшоры.
2017–2019. После краха DynDNS и усиления защиты пользователей Dridex эволюционировал в гибридную платформу: модульная архитектура позволила добавить функции обхода двухфакторной аутентификации и автоматизированного снятия криптовалюты через P2P‑площадки. Параллельно Evil Corp запускает BitPaymer — собственный шифровальщик, требующий выкуп в среднем 500 000 USD за атаку на корпоративные сети.
2020–2022. Dridex и BitPaymer продолжают развиваться: появляются мобильные модули для Android‑банкинга, встроенные эксплойт‑киты и автоматические механизмы смены C2‑серверов каждые 24 часа. По оценкам аналитиков Group‑IB, к середине 2021 года совокупный ущерб от Dridex‑кампаний превысил 1,2 млрд USD.
2023. Министерство финансов США и OFAC включают ключевых операторов Evil Corp и их виртуальные адреса в SDN List, запрещая американским организациям любое взаимодействие с их счетами. Это стало первым случаем применения финансовых санкций как инструмента борьбы с киберпреступностью. Несмотря на давление, Evil Corp меняет бренды на LockBit East, сохраняя ту же модульную телеметрию и механизмы обхода санкций.
Dridex навсегда изменил модель банковского трояна, а BitPaymer стал одним из первых успешных RaaS‑продуктов. Современные атаки Evil Corp сочетают многоступенчатый фишинг, прокси‑сети, краудсорсинг дешёвых «дроп»‑машин и сложные схемы легализации выкупа через крипто‑миксеры и офшоры.
4. FIN7 - от Carbanak к «телефонному» BEC
Украина, 2015. После серии успешных проникновений в банки и ритейл через троян Carbanak команда фининженеров трансформируется в группу FIN7. Первые кампании проходили через массовые фишинговые рассылки: злоумышленники выдавали себя за HR-отделы и рассылали «вакансии» в виде .doc-файлов с вредоносными макросами. В результате были скомпрометированы системы более чем 100 компаний в США и Европе, включая сети ресторанов J-Crew, Chipotle и Arby’s. Общий ущерб превысил 20 млн USD к концу 2017 года.
2018. Для обхода антивирусов FIN7 разрабатывает собственный загрузчик Badhatch и внедряет бессерверные C2-модули через легитимные маршруты Azure и AWS. Переходят к краже данных POS-терминалов: внедряют скрипты, собирающие треки и CVV-коды, а затем продают их на подпольных форумах по цене 15–20 USD за запись.
2020–2022. Под прикрытием фейковых аутсорс-компаний (Combi Security, Bastion Secure, MJ12 Cyber) FIN7 развертывает механику телефонного BEC. Используя скомпрометированные VoIP-шлюзы и подставные номера, «аналоговые» переговорщики звонят в бухгалтерию жертв от лица «аудитора KPMG» или «службы безопасности банка». Убеждая в критической необходимости срочного «резервного депозита», они добиваются переводов в среднем от 500 тыс. до 1,5 млн USD за раз. По данным DoJ, только в 2021 году таким способом FIN7 похитила более 80 млн USD.
2023–2024. Группа усложняет схему: внедряет deepfake-звонки с голосами «руководства компании» и комбинирует SMS-подтверждения, полученные через SIM-swap-атаки. Это позволяет обходить 2FA и снижает подозрительность жертв. По внутренним данным FIN7, скорость выполнения одного BEC-инцидента выросла до 25 минут, а количество целевых банковских счетов — до 4–6 за одну сессию.
FIN7 показывает, как эволюция от чисто технических инструментов (Carbanak) к социально-инженерным техникам (телефонный BEC) позволяет ночным «айтишникам» зарабатывать сотни миллионов, оставаясь в тени и перехитрив даже самые продвинутые системы мониторинга.
2018. Для обхода антивирусов FIN7 разрабатывает собственный загрузчик Badhatch и внедряет бессерверные C2-модули через легитимные маршруты Azure и AWS. Переходят к краже данных POS-терминалов: внедряют скрипты, собирающие треки и CVV-коды, а затем продают их на подпольных форумах по цене 15–20 USD за запись.
2020–2022. Под прикрытием фейковых аутсорс-компаний (Combi Security, Bastion Secure, MJ12 Cyber) FIN7 развертывает механику телефонного BEC. Используя скомпрометированные VoIP-шлюзы и подставные номера, «аналоговые» переговорщики звонят в бухгалтерию жертв от лица «аудитора KPMG» или «службы безопасности банка». Убеждая в критической необходимости срочного «резервного депозита», они добиваются переводов в среднем от 500 тыс. до 1,5 млн USD за раз. По данным DoJ, только в 2021 году таким способом FIN7 похитила более 80 млн USD.
2023–2024. Группа усложняет схему: внедряет deepfake-звонки с голосами «руководства компании» и комбинирует SMS-подтверждения, полученные через SIM-swap-атаки. Это позволяет обходить 2FA и снижает подозрительность жертв. По внутренним данным FIN7, скорость выполнения одного BEC-инцидента выросла до 25 минут, а количество целевых банковских счетов — до 4–6 за одну сессию.
FIN7 показывает, как эволюция от чисто технических инструментов (Carbanak) к социально-инженерным техникам (телефонный BEC) позволяет ночным «айтишникам» зарабатывать сотни миллионов, оставаясь в тени и перехитрив даже самые продвинутые системы мониторинга.
5. Silence - эра ATM jackpotting
2016. Первая крупная кампания группы Silence фиксируется в Риге: злоумышленники устанавливают на ATM-модули собственное ПО, принуждающее устройство выдавать наличность без авторизации. За ночь одна установка приносит около 50 000 €.
2018. Silence внедряет систему «Rapid SEPA»: при помощи поддельного SWIFT-транзактора они переводят выкуп в евро на европейские счета за минуты, избегая стандартных проверок банков.
2020. Группа усовершенствует метод: комбинация ATM-skimming и jackpotting-модулей позволяет одновременно клонировать карты и принудительно выдавать наличные. Регионы России и Латвии страдают от серии «блиц‑ограблений» в течение 2–3 часов по ночам.
2022–2023. Silence переходит на гибридную модель: после jackpotting инкассируют наличные дронами‑курьерами и используют беспилотники для передачи сумок с деньгами участникам. По оценкам европейских спецслужб, за этот период группа похищает не менее 12 млн €.
Silence превратила ATM-скримминг в услугу «под ключ»: оборудование, ПО, логистика — все входит в стоимость контракта.
2018. Silence внедряет систему «Rapid SEPA»: при помощи поддельного SWIFT-транзактора они переводят выкуп в евро на европейские счета за минуты, избегая стандартных проверок банков.
2020. Группа усовершенствует метод: комбинация ATM-skimming и jackpotting-модулей позволяет одновременно клонировать карты и принудительно выдавать наличные. Регионы России и Латвии страдают от серии «блиц‑ограблений» в течение 2–3 часов по ночам.
2022–2023. Silence переходит на гибридную модель: после jackpotting инкассируют наличные дронами‑курьерами и используют беспилотники для передачи сумок с деньгами участникам. По оценкам европейских спецслужб, за этот период группа похищает не менее 12 млн €.
Silence превратила ATM-скримминг в услугу «под ключ»: оборудование, ПО, логистика — все входит в стоимость контракта.
6. IceLoki - ransomware атакующая Российские компании
2019. Некоторыми исследователями определяется первая тестовая атака IceLoki: шифровальщик на базе NordLocker SDK блокирует данные маленькой эстонской фирмы.
2021. Публичный запуск IceLoki: группа регистрирует домен iceloki.dark и распространяет вирус через уязвимости ProxyShell. Первые жертвы - медицинские клиники Литвы и Латвии, выкуп в среднем 75 000 €.
2022. В версии 2.0 появляется «Zodiac phish‑kit» - фишинговый набор для сбора учётных данных бизнес-пользователей. Одновременные кампании приводят к утечке данных более чем 100 организаций.
2023. IceLoki интегрируется с Conti-сплинтерами: аффилиаты получают доступ к RaaS-панели, а группа увеличивает средний выкуп до 250 000 €. Появляются модули для обхода EDR-систем и шифрования NAS-накопителей.
NordLocker Team доказала, что балтийский RaaS способен конкурировать с более крупными восточными группами, предлагая дешёвые подписки и простую интеграцию фишинга и вымогательства.
2021. Публичный запуск IceLoki: группа регистрирует домен iceloki.dark и распространяет вирус через уязвимости ProxyShell. Первые жертвы - медицинские клиники Литвы и Латвии, выкуп в среднем 75 000 €.
2022. В версии 2.0 появляется «Zodiac phish‑kit» - фишинговый набор для сбора учётных данных бизнес-пользователей. Одновременные кампании приводят к утечке данных более чем 100 организаций.
2023. IceLoki интегрируется с Conti-сплинтерами: аффилиаты получают доступ к RaaS-панели, а группа увеличивает средний выкуп до 250 000 €. Появляются модули для обхода EDR-систем и шифрования NAS-накопителей.
NordLocker Team доказала, что балтийский RaaS способен конкурировать с более крупными восточными группами, предлагая дешёвые подписки и простую интеграцию фишинга и вымогательства.
7. Тренды 2025–2027
- Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.- синергия шифрования данных, утечки конфиденциальной информации и атак на IoT‑устройства (промышленные контроллеры, «умные» здания).
- Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.- использование больших языковых моделей для генерации персонализированных сообщений и deepfake‑звонков, которые крайне сложно отличить от реального общения.
- Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.- оформление поддельных или скомпрометированных эстонских e‑Residency аккаунтов для лёгкого входа в SEPA‑системы и обхода финансового мониторинга.
- Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.- внедрение средств из выкупов напрямую в децентрализованные финансовые протоколы (лендинговые пулы, синтетические активы), что позволяет скрыть происхождение капитала и мгновенно обменять его на множество токенов.
- Кибер‑взаимодействие ОПГ - совместные операции нескольких кланов: DDoS‑атаки прикрывают диспетчеризацию фишинга, пока отдельные группы собирают выкуп с помощью RaaS; формируются временные альянсы по обмену C2‑сетями.
Эта статья была создана с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
В нашем пространстве вы найдете много интересного и познавательного,
так же просто общение.
→
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
←
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Telegram:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
