Международная правоохранительная операция завершилась успешной ликвидацией одного из крупнейших сервисов для тестирования вредоносного программного обеспечения. Платформа AVCheck, которая долгое время служила киберпреступникам инструментом для проверки эффективности их малвари против коммерческих антивирусных решений, была официально закрыта совместными усилиями американских и европейских спецслужб.
Механизм работы сервиса тестирования малвари
Сервис AVCheck функционировал как специализированная платформа, позволявшая злоумышленникам тестировать свое вредоносное ПО на предмет обнаружения антивирусными программами до его развертывания в реальных кибератаках. Данный подход значительно повышал эффективность вредоносных кампаний, поскольку позволял хакерам заранее адаптировать свои инструменты под существующие системы защиты.
По данным голландской полиции, AVCheck представлял собой одну из наиболее масштабных международных платформ для обхода антивирусной защиты. Сервис предоставлял киберпреступникам возможность оценивать скрытность своих вредоносных программ и их способность избегать детектирования современными средствами кибербезопасности.
Детали международной операции по закрытию
Ликвидация AVCheck стала результатом скоординированных действий Министерства юстиции США, ФБР, Секретной службы США и нидерландской полиции. На официальном домене avcheck[.]net теперь размещен баннер, информирующий о закрытии ресурса правоохранительными органами.
Особенно примечательной частью операции стало использование тактики «медового горшка» — перед окончательным закрытием сервиса власти разместили поддельную страницу авторизации. Эта мера позволила не только предупредить пользователей о правовых рисках, но и собрать ценные данные о лицах, пытавшихся получить доступ к платформе.
Связь с криптор-сервисами
Расследование выявило прямые связи между администраторами AVCheck и операторами криптор-сервисов Cryptor[.]biz и Crypt[.]guru. Первый из этих сервисов также был принудительно закрыт правоохранителями, в то время как второй прекратил работу самостоятельно после начала операции.
Криптор-сервисы играют ключевую роль в экосистеме киберпреступности, предоставляя инструменты для шифрования и обфускации вредоносных программ. Типичная схема работы злоумышленников включает три этапа: обфускация малвари через криптор-сервисы, тестирование через платформы типа AVCheck, и только затем — развертывание в реальных атаках.
Операция «Эндшпиль» и ее масштабы
Закрытие AVCheck стало частью масштабной международной кампании под кодовым названием Operation Endgame. В рамках этой операции, проведенной весной 2025 года, правоохранительные органы изъяли 300 серверов и 650 доменов, использовавшихся для поддержки вымогательских атак.
Дополнительными достижениями операции стали ликвидация ботнета DanaBot и арестование клиентов вредоносной сети Smokeloader. Эти действия демонстрируют комплексный подход к борьбе с организованной киберпреступностью на международном уровне.
Методы расследования
Согласно заявлению американского Министерства юстиции, установить незаконный характер деятельности AVCheck удалось благодаря работе тайных агентов, действовавших под прикрытием. Сотрудники спецслужб совершали покупки, выдавая себя за обычных клиентов, что позволило детально изучить функционал сервиса и выявить его связи с вымогательскими атаками на американские организации.
Ликвидация AVCheck и связанных с ним криптор-сервисов представляет значительный удар по инфраструктуре международной киберпреступности. Успех операции «Эндшпиль» подчеркивает важность международного сотрудничества в сфере кибербезопасности и демонстрирует эффективность проактивного подхода к противодействию угрозам на этапе их подготовки, а не только реагирования на уже совершенные атаки.
