31 января 2025 г. — ФБР совместно с правоохранительными органами Нидерландов провели масштабную операцию по ликвидации глобальной киберпреступной сети, известной как «The Manipulaters». Эта группировка из Пакистана предоставляла преступным организациям инструменты для рассылки спама, вредоносного ПО и фишинговых атак. В ходе операции было изъято 39 серверов и доменных имён, что стало серьёзным ударом по киберпреступному рынку.
Фишинговый сервис мирового масштаба
Группировка The Manipulaters работала под различными брендами, включая Heartsender, Fudpage и Fudtools. В их рекламных материалах подчёркивалось, что их сервисы являются «Fully Un-Detectable» (полностью незаметными) для антивирусных программ и систем кибербезопасности.
По данным правоохранительных органов, на серверах преступников содержались миллионы записей жертв по всему миру, в том числе не менее 100 000 данных голландских граждан.
ФБР заявило, что основные клиенты этого сервиса — транснациональные преступные группировки, использующие фишинговые атаки для компрометации корпоративной электронной почты (BEC-атак). Эти схемы позволяли мошенникам заставлять компании переводить деньги на счета злоумышленников, что приводило к многомиллионным убыткам.
Как работала преступная схема
По данным Министерства юстиции США (DOJ), сайты под управлением Saim Raza (псевдоним, который использовали The Manipulaters) выступали в роли онлайн-маркетплейсов, предлагая следующие инструменты для мошенничества:
Фишинговые наборы для кражи данных пользователей Microsoft 365, Yahoo, AOL, iCloud и других сервисов.
Готовые мошеннические страницы (scam pages), имитирующие официальные сайты компаний.
Инструменты для сбора и анализа электронной почты, позволяющие нацеливать атаки на бизнес-структуры.
ФБР отмечает, что помимо хищения корпоративных средств, эти инструменты использовались для кражи личных данных, которые затем применялись для новых мошеннических схем.
Грубые ошибки привели к провалу
Несмотря на высокий уровень организации, The Manipulaters не уделяли должного внимания защите собственной инфраструктуры. По данным DomainTools, их веб-сервисы допускали утечку пользовательских данных, включая учетные записи клиентов, токены аутентификации и конфиденциальные SMTP-учётные данные.
Более того, оказалось, что компьютеры участников The Manipulaters были заражены вредоносным ПО, похищавшим их пароли. Это привело к утечке огромного количества данных, которые затем появились в теневых онлайн-маркетах.
Продолжающееся расследование
Полиция Нидерландов заявила, что расследование в отношении владельцев и пользователей сервиса ещё не завершено.
«Киберпреступное подразделение уже вышло на след ряда покупателей инструментов The Manipulaters. По предварительным данным, среди клиентов могли быть и граждане Нидерландов», — сообщили в национальной полиции.
Глобальная операция против киберпреступников
Помимо уничтожения инфраструктуры The Manipulaters, в рамках «Операции Talent» ФБР и правоохранительные органы Австралии, Франции, Греции, Италии, Румынии и Испании закрыли ряд крупнейших киберкриминальных форумов, включая Cracked и Nulled. Эти сообщества насчитывали более 10 миллионов пользователей.
Также был закрыт Sellix — популярный теневой маркетплейс, использовавшийся для продажи украденных данных, вредоносного ПО и инструментов для киберпреступлений.
Операция ФБР и нидерландской полиции стала крупнейшим ударом по международной киберпреступности за последнее десятилетие. Ликвидация The Manipulaters и захват серверов затруднит деятельность BEC-мошенников по всему миру. Однако, как отмечают эксперты, борьба с киберпреступностью продолжается, и преступные группировки, вероятно, попытаются создать новые платформы для мошенничества.