В последние годы киберпреступность стала одной из ведущих угроз международной безопасности. Все шире распространяясь, организованные преступные группировки используют сложные программы для взлома компьютерных систем и последующего вымогательства денежных средств у компаний и частных лиц. Недавно масштабная операция международных правоохранительных органов позволила раскрыть одну из таких сетей, возглавляемую российским киберпреступником, и конфисковать около 24 миллионов долларов в криптовалюте. Этот успешный кейс стал важной вехой в борьбе с глобальными киберугрозами, демонстрируя возможности кооперации стран и ведомств в сфере цифровой безопасности. Основным объектом расследования стал Rustam Rafailevich Gallyamov, 48-летний житель Москвы, который на протяжении нескольких лет развивал и управлял вредоносным программным обеспечением под названием Qakbot.
С момента своего появления в 2008 году, Qakbot приобрел печальную известность как мощный инструмент для создания ботнетов — сетей из зараженных компьютеров, которые преступники использовали для дальнейших атак. С 2019 года Gallyamov использовал этот ботнет для заражения тысяч устройств по всему миру, предоставляя доступ к ним другим киберпреступникам, специализирующимся на распространении программ-вымогателей. Многочисленные другие вредоносные программы, такие как Prolock, Dopplepaymer, Egregor, REvil, Conti, Name Locker, Black Basta и Cactus также фигурировали в данной схеме. Группа вымогателей проникает в корпоративные сети и зашифровывает важные данные, требуя вознаграждение — выкуп в криптовалюте — за их восстановление. В присутствии такого ботнета, Gallyamov и его сообщники обогащались за счет доли от вырученных выкупов, а также старались уклоняться от действий правоохранителей, что затрудняло выявление и ликвидацию их деятельности.
В результате координированной операции, проведенной силами ФБР США, а также правоохранительных структур Франции, Германии, Нидерландов, Дании, Великобритании и Канады, деятельность ботнета была существенно подорвана в 2023 году. Тем не менее, несмотря на предпринятые меры, Gallyamov не прекратил свои попытки распространения вредоносного ПО, используя альтернативные методы. Одним из них стали так называемые «спам-бомбы» — массовая рассылка с целью обмана сотрудников компаний, чтобы получить несанкционированный доступ к их системам. Именно такая тактика была применена в январе 2025 года, согласно обвинительному заключению. В апреле 2025 года ФБР официально предприняло еще одну важную операцию — изъятию подверглись активы, включая более 30 биткоинов и около 700 тысяч USDT (стейблкоин, привязанный к доллару США).
Суммарная стоимость конфискованных средств составляет свыше 24 миллионов долларов. Эти средства были получены незаконным путем и теперь по решению суда будут возвращены пострадавшим от деятельности киберпреступной группировки. Разоблачение Gallyamov и его сообщников является значительным примером успешного международного сотрудничества, демонстрирующего, как государства могут объединиться для борьбы с быстро адаптирующимися киберпреступниками. Современные криминальные сети отличаются высокой степенью децентрализации, использованием продвинутых технологий шифрования и анонимности, что зачастую осложняет расследования. Несмотря на эти вызовы, совместные усилия правоохранительных органов показывают свою эффективность.
Комплексный анализ деятельности Qakbot выявил, что вредоносное ПО обладало широким функционалом, включая сбор конфиденциальной информации, проникновение в банковские счета и распространение через фишинговые письма. После компрометации компьютеров, злоумышленники могли получить полный контроль над устройствами, используя их для дальнейшей атакующей деятельности и координации с другими сетями вымогателей. Все это подчеркивает критическую важность своевременного обнаружения и противодействия кибератакам. В дополнение к техническим мерам, специалистами подчеркивается великая важность повышения осведомленности сотрудников компаний о рисках и методах социальной инженерии, которые активно применяют преступники. Программы корпоративной безопасности требуют постоянного обновления, а обучение персонала — регулярного проведения.
Помощь в выявлении подозрительной активности и правильная реакция на инциденты помогут минимизировать потенциал ущерба. Также этот случай демонстрирует растущую роль криптовалют в сфере киберпреступности. Их анонимная и децентрализованная природа делает криптовалюты привлекательным инструментом для выкупа, отмывания денег и финансирования нелегальной деятельности. В то же время это создает вызовы для правоохранительных органов, которым необходимо развивать технические возможности отслеживать транзакции и сотрудничать с платформами обмена криптовалюты. События вокруг Gallyamov стали предупреждением и сигналом к действию для корпоративного сектора и государства.
