ИНТЕРПОЛ завершил беспрецедентную по масштабу координированную операцию против киберпреступности в регионе Ближнего Востока и Северной Африки (MENA). Операция Ramz, проведённая с октября 2025 по февраль 2026 года при участии 13 стран, привела к 201 аресту, идентификации ещё 382 подозреваемых, обнаружению 3 867 жертв и изъятию 53 серверов. Помимо классических фишинговых и мошеннических схем, в ходе расследования была раскрыта схема принудительного труда, в которой жертвы торговли людьми использовались как операторы финансового мошенничества.

Масштаб и география операции

Согласно официальному заявлению ИНТЕРПОЛ, операция была направлена на нейтрализацию фишинговых и вредоносных инфраструктур, а также на противодействие кибермошенничеству, наносящему значительный финансовый ущерб региону. В операции участвовали Алжир, Бахрейн, Египет, Ирак, Иордания, Ливан, Ливия, Марокко, Оман, Палестина, Катар, Тунис и ОАЭ.

Ключевые результаты по странам демонстрируют разнообразие выявленных угроз:

• Алжир — ликвидирована платформа «фишинг как услуга» (Phishing-as-a-Service, PhaaS). Конфискован сервер, компьютер, мобильный телефон и жёсткие диски с фишинговым программным обеспечением и скриптами. Арестован один подозреваемый.
• Марокко — изъяты компьютеры, смартфоны и внешние накопители, содержавшие банковские данные и инструменты для фишинговых операций.
• Оман — в частном жилом помещении обнаружен легитимный сервер с конфиденциальной информацией, имевший множественные критические уязвимости и заражённый вредоносным ПО. Сервер был отключён.
• Катар — выявлены скомпрометированные устройства, владельцы которых не подозревали, что их системы использовались для распространения вредоносных угроз. Устройства были защищены, владельцы уведомлены.
• Иордания — обнаружен компьютер, использовавшийся для проведения схем финансового мошенничества с поддельной торговой платформой.

Стоит отметить, что конкретные семейства вредоносного ПО, индикаторы компрометации и детали уязвимостей серверов в Омане и Катаре ИНТЕРПОЛ не раскрыл, что ограничивает возможности независимой технической оценки масштаба угроз.

Торговля людьми на службе кибермошенничества

Наиболее тревожным открытием операции стала ситуация в Иордании. При обыске были обнаружены 15 человек, непосредственно осуществлявших мошеннические операции с поддельной инвестиционной платформой, которая прекращала работу после получения средств жертв. Однако расследование установило, что эти 15 операторов сами являлись жертвами торговли людьми — они были завербованы под ложным предлогом трудоустройства из стран Азии. По прибытии в Иорданию их паспорта были конфискованы, а сами они были принуждены к участию в мошеннической схеме. Двое предполагаемых организаторов были арестованы.

Этот случай иллюстрирует растущую конвергенцию киберпреступности и организованной преступности «реального мира». Модель принудительного кибермошенничества, ранее массово документированная в Юго-Восточной Азии (Камбоджа, Мьянма, Лаос), теперь фиксируется и в регионе MENA, что свидетельствует о географическом расширении этой практики.

Роль частного сектора

В операции участвовали компании из частного сектора. Group-IB сообщила, что предоставила разведывательные данные по более чем 5 000 скомпрометированных учётных записей, включая связанные с государственной инфраструктурой, а также информацию об активной фишинговой инфраструктуре в регионе. Team Cymru также заявила о поддержке операции, подчеркнув необходимость координации между правоохранительными органами и частным сектором.

Участие компаний, специализирующихся на анализе угроз, в подобных операциях становится стандартной практикой: правоохранительные органы получают техническую экспертизу и доступ к данным телеметрии, которыми не располагают самостоятельно, а компании — легитимизацию своих разведывательных возможностей.

Контекст: волна правоохранительных действий

Операция Ramz вписывается в серию крупных правоохранительных акций последних недель. Среди наиболее значимых:

• Dream Market — предъявлены обвинения в отмывании денег Ове Мартину Андресену (Speedstepper), предполагаемому главному администратору даркнет-маркетплейса, арестованному в Германии.
• Crimenetwork — закрыта перезапущенная версия маркетплейса (оригинал ликвидирован в декабре 2024), арестован предполагаемый администратор — 35-летний гражданин Германии — на Мальорке.
• Kingdom Market — администратор Алан Билл из Братиславы приговорён к 200 месяцам (более 16 лет) заключения за распространение наркотиков, украденных финансовых данных, поддельных документов и вредоносного ПО.
• Криптовалютное мошенничество — Марлон Ферро (GothFerrari), 20 лет, приговорён к 78 месяцам заключения за участие в схеме социальной инженерии, похитившей более 250 миллионов долларов в криптовалюте. Схема сочетала онлайн-мошенничество с физическими кражами аппаратных кошельков.
• Удаление госданных — Сохаиб Ахтер признан виновным в удалении 96 баз данных с информацией правительства США и краже пароля в открытом виде из портала Комиссии по равным возможностям трудоустройства.

Совокупность этих действий демонстрирует системное усиление давления на инфраструктуру киберпреступности по всем направлениям — от даркнет-маркетплейсов до фишинговых платформ и схем социальной инженерии.

Практические рекомендации

Результаты операции Ramz выявляют несколько практических приоритетов для организаций в регионе MENA и за его пределами:

• Аудит серверной инфраструктуры — случай в Омане показывает, что легитимные серверы с критическими уязвимостями в частных сетях становятся точками компрометации. Проведите инвентаризацию всех серверов, включая расположенные вне корпоративных ЦОД.
• Мониторинг скомпрометированных учётных записей — более 5 000 скомпрометированных аккаунтов, включая государственные, указывают на масштабную утечку учётных данных. Внедрите мониторинг утечек и принудительную ротацию паролей для привилегированных учётных записей.
• Проверка конечных точек — ситуация в Катаре, где владельцы устройств не знали о компрометации, подчёркивает необходимость регулярного сканирования на наличие вредоносного ПО и аномальной сетевой активности.
• Обучение сотрудников — фишинговые платформы «как услуга» снижают порог входа для злоумышленников, увеличивая объём и качество фишинговых атак. Обновите программы повышения осведомлённости с учётом актуальных региональных шаблонов.

Операция Ramz — первый прецедент координированной киберполицейской операции такого масштаба в регионе MENA. Её главная ценность не столько в количестве арестов, сколько в создании работающей модели межгосударственного сотрудничества в регионе, где подобная координация ранее отсутствовала. Организациям, работающим в этих юрисдикциях, рекомендуется использовать результаты операции как основание для пересмотра собственных моделей угроз — в частности, учесть рост платформ «фишинг как услуга» и расширение схем принудительного кибермошенничества за пределы Юго-Восточной Азии.