Контакты
Подписка 2026

Щедрость владельцев инфраструктуры не победить! Часть 4

Вадим Алексеев, 01/04/25

Все эти ситуации могут показаться забавными – и действительно, они вызывают улыбку. Но за каждой из них стоит реальный опыт, зачастую с не самыми приятными последствиями: простоями, потерями данных, репутационными ударами.

Автор: Вадим Алексеев, руководитель департамента расследований высокотехнологичных преступлений компании F6

ris3_w

Деньги смыли в унитаз

Эта история случилась еще до того, как я пришел в компанию, и превратилась в корпоративную легенду.

Весной 2015 г. у жителей обычного дома в Санкт-Петербурге появилось сразу два повода для бурных обсуждений. Первый – после того, как в квартиру соседей, братьев-близнецов, с оглушительными звуковыми эффектами ворвался спецназ. А второй – когда по милости братьев на некоторое время вышла из стоя канализация.

Близнецов, которых подозревали в хищениях денег клиентов ведущих российских банков с использованием вирусных программ, силовики пришли задерживать уже во второй раз – за несколько лет до того братьев осудили, но они отделались условными сроками и выводов для себя, похоже, не сделали. Расставаться со свободой повторно злоумышленники не хотели, потому дверь оперативникам не открыли. Чтобы проложить себе путь, спецназовцам пришлось воспользоваться болгаркой. Пока бойцы срезали петли металлической двери, близнецы спешно уничтожали улики. На случай прихода правоохранителей они запасли электромагнитную пушку, способную размагничивать жесткие диски. Но уничтожить деньги, флешки и сим-карты так же быстро не получалось.

Под визг болгарки один из братьев пытался смыть полмиллиона рублей наличными в унитаз, но тут же доказал самому себе, что в ИТ он разбирается куда лучше, чем в ЖКХ. Канализационный стояк быстро забился, так что улики удалось спасти, но с ними оперативникам пришлось помучиться. Прежде чем приобщить деньги к материалам дела, банкноты пришлось сушить.

Доставку заказывали?

Хакеры – такие же люди, и ничто человеческое им не чуждо. Случаев, когда злодеи забывали на месте преступления свой паспорт, немало. Злоумышленники, которые действуют в цифровом пространстве, порой попадают в похожие истории. К техническим ошибкам их часто приводит гордыня (в библейском смысле), а еще чувство безнаказанности В одном из наших расследований был эпизод, когда злоумышленник сидел в RDP-сессии, и в то время, когда на компьютере жертвы работал кейлогер, заказывал какой-то девайс со своего компьютера в интернет-магазине. Хакер указал свой домашний адрес: использовал Сopy&Paste, который провалился в удаленную машину. Эти данные остались на компьютере жертвы и помогли понять, где находится злодей.

Родная речь

Однажды мы проводили расследование волны DDoS-атак на различные компании, которая началась летом 2021 г. Атаки характеризовались большим объемом запросов с известных прокси-сервисов. Пострадали тогда самые разные компании, мы получили массу обращений. Пробовали технически анализировать эти атаки, но постоянно натыкались на использование злоумышленниками различных анонимных сервисов, а объем данных для анализа был так велик, что приводил к прожиганию ресурсов.

Выбрали нестандартное решение: стали исследовать рынок DDoS-услуг. В процессе нашли множество Telegram-чатов, большое количество злоумышленников, которые перекупали друг у друга инструменты, методы атак. А еще неожиданно оказалось, что участники этих чатов – достаточно молодые люди, конкуренция высокая, поэтому в тематических ресурсах они активно рекламировали свои каналы и выдавали полезные данные друг о друге.

Анализ каналов и чатов, принадлежавших разным злоумышленникам, помог связать атаки с исполнителями и сдеанонить их: они даже выкладывали скриншоты недоступности сервисов. Переписки с исполнителями помогли исследовать используемые инструменты. В процессе деанона мы выяснили личность одного из предполагаемых злоумышленников и регион, в котором он вырос. Для проверки точности результата написали ему приветствие на национальном языке этого региона и попали в точку: злоумышленник успешно прошел проверку и на запрос ответил.


Вся подборка историй:

  1. Часть 1. Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE
  2. Часть 2. Алексей Киселев, руководитель отдела по работе с клиентами среднего и малого бизнеса, “Лаборатория Касперского”
  3. Часть 3. Денис Гойденко, руководитель PT ESC IR, Positive Technologies
  4. Часть 4. Вадим Алексеев, руководитель департамента расследований высокотехнологичных преступлений компании F6 
Темы:F6Журнал "Информационная безопасность" №1, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Наш AI сам выносит вердикт: скам, фишинг или ВПО
    Станислав Гончаров, руководитель департамента Digital Risk Protection, F6
    С каждым годом цифровые угрозы для брендов – скам, фишинг или незаконное использование интеллектуальной собственности – демонстрируют высокую степень автоматизации и использования новых генеративных моделей для наполнения мошеннических страниц фейковым контентом. Для противодействия подобным киберугрозам нужно быть гораздо быстрее злоумышленников.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...