Нідерландські правоохоронці затримали 33‑річного громадянина країни, якого підозрюють в адмініструванні платформи AVCheck — одного з найвідоміших онлайн‑сервісів для тестування шкідливого ПЗ та обходу антивірусного захисту. Цей ресурс було відключено в травні 2025 року в межах міжнародної операції Endgame, спрямованої проти інфраструктури, що підтримує кіберзлочинність.
Затримання в Нідерландах: що відомо про підозрюваного та AVCheck
За інформацією прокуратури Нідерландів (Openbaar Ministerie, OM), затримання відбулося в аеропорту Схіпгол в Амстердамі. Ім’я підозрюваного не розкривається, однак відомо, що після закриття AVCheck він залишив країну та певний час переховувався в ОАЕ. Його помістили під варту після періоду міжнародного спостереження.
У підозрюваного вилучено носії даних, які проходять цифрову криміналістичну експертизу. Слідство пов’язує його з двома юридичними особами, через які, за версією правоохоронців, надавався доступ до платформи AVCheck розробникам шкідливого ПЗ та іншим кіберзлочинцям. Подібні компанії часто виконують роль «оболонок», маскуючи реальне призначення сервісів під нібито легітимні інструменти тестування безпеки.
Як працював сервіс AVCheck і чому він небезпечний
AVCheck слідчі називають одним із крупних міжнародних сервісів обходу антивірусних рішень. По суті, це був онлайн‑майданчик, де користувач міг завантажити зразок шкідливого коду та перевірити, чи виявляють його популярні антивіруси, EDR‑системи та інші засоби захисту.
Легітимні пентест‑платформи допомагають фахівцям з кібербезпеки знаходити та усувати вразливості. Anti‑AV сервіси на кшталт AVCheck виконують ту саму технічну функцію, але з протилежною метою: розробники малварі «шліфують» свій код доти, доки той перестає спрацьовувати на сигнатурах та поведінкових правилах захисних систем.
Anti‑AV сервіси як прискорювач кіберзлочинних атак
Сучасні кіберзлочинні групи працюють за моделлю промислової розробки ПЗ: створення, тестування, доопрацювання, повторне використання. Сервіси обходу антивірусів дозволяють їм заздалегідь виміряти «невидимість» своїх інструментів для масово розгорнутих засобів захисту.
У результаті організації стикаються з атаками, які:
- довше залишаються непоміченими усередині інфраструктури жертви;
- ефективніше обходять міжмережеві екрани, фільтри електронної пошти та web‑шлюзи;
- ускладнюють цифрову криміналістику та атрибуцію інциденту.
Профільні звіти з кібербезпеки (наприклад, Verizon DBIR, ENISA Threat Landscape) вже кілька років фіксують тренд: значна частина цілеспрямованих атак супроводжується попереднім тестуванням шкідливого ПЗ на предмет детектування засобами захисту. Сервіси типу AVCheck суттєво знижують поріг входу для менш досвідчених зловмисників, забезпечуючи їм доступ до «професійного» рівня підготовки атак.
Операція Endgame: міжнародна боротьба з crimeware-as-a-service
Відключення AVCheck 27 травня 2025 року стало частиною другої хвилі операції Endgame — скоординованої кампанії влади Нідерландів, США, Фінляндії та інших країн проти сервісів, що підтримують кіберзлочинні екосистеми. У фокусі — не тільки окремі хакерські угруповання, а й інфраструктурні вузли: хостинг, ботнети, панелі керування, платформи тестування шкідливого ПЗ.
Міжнародна координація демонструє важливу тенденцію: територіальні кордони перестають бути надійним укриттям для кіберзлочинців. Навіть якщо підозрюваний залишає країну та ховається в інших юрисдикціях, механізми спільних розслідувань та обміну даними дозволяють відстежувати його переміщення та зрештою проводити затримання.
Удар по кіберзлочинній екосистемі, а не лише по окремих хакерах
З погляду кібербезпеки ключовим є зміщення акценту на боротьбу з crimeware‑as‑a‑service — сервісною моделлю кіберзлочинності. В ній один оператор розробляє платформи, другий забезпечує інфраструктуру, третій виконує атаки, а інші купують доступ «за підпискою».
Ліквідація сервісів на кшталт AVCheck підвищує вартість і складність підготовки атак. Зловмисникам доводиться:
- шукати нові, менш зручні та більш фрагментовані майданчики;
- переміщувати інфраструктуру в закриті приватні кола та даркнет‑платформи;
- самостійно будувати аналоги сервісів обходу антивірусів, що вимагає додаткових ресурсів і кваліфікації.
Наслідки для зловмисників та практичні уроки для бізнесу
Арешт імовірного адміністратора AVCheck навряд чи повністю зупинить практику тестування малварі, однак зменшення кількості великих і зручних платформ підвищує операційні витрати кіберзлочинців і ускладнює масштабування їхніх кампаній. Частина функціональності, ймовірно, мігрує в закриті приватні сервіси та невеликі спільноти в даркнеті.
Для організацій це не привід послаблювати захист. Навпаки, слід виходити з припущення, що серйозна атака вже пройшла попереднє тестування на аналогах AVCheck. Ефективна стратегія кібербезпеки сьогодні має включати:
- багаторівневу архітектуру безпеки: захист endpoint‑ів, сегментацію мережі, контроль привілеїв, моніторинг трафіку;
- використання поведінкового та аномалійного детектування, а не лише сигнатурних антивірусів;
- регулярні навчання та симуляції атак (red/purple teaming), відпрацювання планів реагування на інциденти;
- перегляд політик безпеки з урахуванням сучасних технік обходу EDR, антивірусу та засобів фільтрації.
Історія з AVCheck показує, що боротьба з кіберзлочинністю дедалі більше концентрується на руйнуванні інфраструктури та сервісів, які роблять атаки масовими та доступними. Бізнесу варто використати цей час, щоб зміцнити власну стійкість: інвестувати в безперервний моніторинг, навчання співробітників, регулярний аудит безпеки та проактивне виявлення загроз. Чим швидше організації будуть виходити з постулату «зловмисник уже обійшов базовий захист», тим більше шансів зменшити шкоду від неминучих інцидентів.
