Правоохранительные органы Нидерландов задержали 33‑летнего гражданина страны, которого подозревают в администрировании платформы AVCheck — онлайн‑сервиса для тестирования вредоносного ПО и обхода антивирусной защиты. Сервис был закрыт в мае 2025 года в рамках международной операции Endgame, нацеленной на инфраструктуру, поддерживающую киберпреступность.
Арест в Амстердаме и связь с платформой AVCheck
По данным прокуратуры Нидерландов (Openbaar Ministerie, OM), задержание произошло в аэропорту Схипхол в Амстердаме. Имя подозреваемого не раскрывается, однако известно, что после закрытия AVCheck он покинул Нидерланды и скрывался в ОАЭ. Мужчину взяли под стражу после периода международного наблюдения, а принадлежащие ему носители данных были изъяты для цифровой криминалистической экспертизы.
Следствие связывает задержанного с двумя компаниями, через которые, по версии правоохранителей, предоставлялся доступ к платформе AVCheck киберпреступникам и разработчикам вредоносного ПО. Такие структуры часто используются как «оболочки», маскирующие реальные цели сервисов, которые внешне могут позиционироваться как инструменты тестирования безопасности.
AVCheck: сервис тестирования малвари и обхода антивирусов
AVCheck позиционируется следствием как один из крупнейших международных сервисов для обхода антивирусных решений. По сути, это был онлайн‑инструмент, позволявший загружать образцы вредоносного кода и проверять, обнаруживают ли их популярные антивирусы и иные средства защиты.
Подобные платформы выполняют для киберпреступников ту же функцию, что легитимные «пентест‑платформы» — для специалистов по кибербезопасности. Разработчики малвари используют их, чтобы «отшлифовать» вредоносный код, пока он не перестанет срабатывать на сигнатурах и поведенческих правилах защитных систем. Это существенно повышает вероятность успешной атаки и усложняет детектирование на ранних стадиях.
Почему сервисы обхода антивирусов представляют критический риск
Современные киберпреступные группировки действуют по принципам промышленной разработки: они создают, тестируют, дорабатывают и повторно используют свой код. Сервисы противодействия антивирусам (anti-AV / AV-evasion) позволяют им заранее проверить, насколько их инструменты видимы для популярных антивирусов, EDR‑систем и других средств защиты.
Фактически злоумышленники проводят над своей малварью тот же тип тестирования, который компании делают для легитимного софта. Разница в цели: защитники стремятся закрыть уязвимости, а преступники — найти способы обойти защиту. В результате организации сталкиваются с более тщательно подготовленными атаками, которые:
- дольше остаются незамеченными в инфраструктуре жертвы;
- успешнее обходят файрволы и системы фильтрации;
- затрудняют последующий криминалистический анализ инцидента.
Операция Endgame: международный удар по киберпреступной инфраструктуре
Закрытие AVCheck 27 мая 2025 года стало частью второй волны операции Endgame — координированной кампании властей Нидерландов, США и Финляндии против сервисов, поддерживающих киберпреступные экосистемы. В фокусе таких операций всё чаще оказываются не только конкретные группировки (например, операторы вымогательских программ), но и инфраструктурные звенья: хостинг, ботнеты, панели управления и сервисы тестирования малвари.
Координация между спецслужбами разных стран демонстрирует важный тренд: географические границы перестают быть защитой для киберпреступников. Даже если подозреваемый покидает страну и пытается скрыться в юрисдикциях с иными правовыми режимами, международные механизмы сотрудничества позволяют отслеживать его перемещение и в конечном итоге проводить задержания.
Смещение фокуса: от отдельных хакеров к экосистемам преступных сервисов
С точки зрения кибербезопасности особенно значимо то, что удары наносятся по сервисной модели киберпреступности (crimeware‑as‑a‑service). В рамках этой модели один оператор развивает платформу, другой предоставляет доступ к инфраструктуре, третий проводит атаки. Такой «аутсорсинг» позволяет относительно неопытным злоумышленникам использовать сложные инструменты.
Ликвидация сервисов вроде AVCheck повышает порог входа в киберпреступность: преступникам приходится искать новые площадки, переносить инфраструктуру в более закрытые и фрагментированные сегменты подпольных рынков или самостоятельно строить аналогичные решения — что требует больше ресурсов и экспертизы.
Последствия для киберпреступников и уроки для организаций
Закрытие AVCheck и арест его предполагаемого оператора вряд ли полностью остановят практику тестирования малвари. Можно ожидать, что часть функциональности уйдёт в более закрытые, «приватные» сервисы и небольшие площадки в даркнете. Тем не менее, сокращение крупных и удобных платформ усложняет жизнь злоумышленникам и повышает стоимость подготовки атак.
Для организаций это не повод снижать бдительность. Важно исходить из того, что любая серьёзная атака потенциально уже проходила «обкатку» на аналогах AVCheck. Поэтому эффективная защита должна включать:
- многоуровневую архитектуру безопасности (endpoint‑защита, сетевой мониторинг, сегментация, контроль привилегий);
- использование поведенческого и аномального детектирования, а не только сигнатурных методов;
- регулярные учения по реагированию на инциденты и тестирование готовности (red/purple teaming);
- обновление политик безопасности с учётом современных техник обхода защитных систем.
История с AVCheck наглядно показывает, что борьба с киберпреступностью всё активнее смещается в плоскость разрушения преступной инфраструктуры и сервисов, делающих атаки массовыми и доступными. Компании, в свою очередь, должны усиливать собственную устойчивость: инвестировать в мониторинг, обучение сотрудников, регулярный аудит безопасности и проактивное выявление угроз, исходя из предпосылки, что злоумышленники уже протестировали свои инструменты против стандартных средств защиты.
