INTERPOL завершив безпрецедентну за масштабом скоординовану операцію проти кіберзлочинності в регіоні Близького Сходу та Північної Африки (MENA). Операція Ramz, проведена з жовтня 2025 по лютий 2026 року за участю 13 країн, призвела до 201 арешту, встановлення особи ще 382 підозрюваних, виявлення 3 867 жертв і вилучення 53 серверів. Окрім класичних фішингових і шахрайських схем, під час розслідування було розкрито схему примусової праці, у якій жертви торгівлі людьми використовувалися як оператори фінансового шахрайства.

Масштаб і географія операції

Згідно з офіційною заявою INTERPOL, операція була спрямована на нейтралізацію фішингових і шкідливих інфраструктур, а також на протидію кібершахрайству, яке завдає значної фінансової шкоди регіону. В операції брали участь Алжир, Бахрейн, Єгипет, Ірак, Йорданія, Ліван, Лівія, Марокко, Оман, Палестина, Катар, Туніс і ОАЕ.

Ключові результати по країнах демонструють різноманіття виявлених загроз:

• Алжир — ліквідовано платформу «фішинг як послуга» (Phishing-as-a-Service, PhaaS). Вилучено сервер, комп’ютер, мобільний телефон і жорсткі диски з фішинговим програмним забезпеченням і скриптами. Заарештовано одного підозрюваного.
• Марокко — вилучено комп’ютери, смартфони та зовнішні носії, що містили банківські дані та інструменти для фішингових операцій.
• Оман — у приватному житловому приміщенні виявлено легітимний сервер із конфіденційною інформацією, який мав численні критичні вразливості та був заражений зловмисним програмним забезпеченням. Сервер було відключено.
• Катар — виявлено скомпрометовані пристрої, власники яких не підозрювали, що їхні системи використовувалися для поширення шкідливих загроз. Пристрої були захищені, власників поінформовано.
• Йорданія — виявлено комп’ютер, який використовувався для реалізації схем фінансового шахрайства з фіктивною торговою платформою.

Варто зазначити, що конкретні сімейства зловмисного програмного забезпечення, індикатори компрометації та деталі вразливостей серверів в Омані й Катарі INTERPOL не розкрив, що обмежує можливості незалежної технічної оцінки масштабу загроз.

Торгівля людьми на службі кібершахрайства

Найбільш тривожним відкриттям операції стала ситуація в Йорданії. Під час обшуку було виявлено 15 осіб, які безпосередньо здійснювали шахрайські операції з фіктивною інвестиційною платформою, що припиняла роботу після отримання коштів жертв. Однак розслідування встановило, що ці 15 операторів самі були жертвами торгівлі людьми — їх завербували під хибним приводом працевлаштування з країн Азії. Після прибуття до Йорданії їхні паспорти були конфісковані, а самих їх змусили брати участь у шахрайській схемі. Двоє ймовірних організаторів були заарештовані.

Цей випадок ілюструє зростаючу конвергенцію кіберзлочинності та організованої злочинності «реального світу». Модель примусового кібершахрайства, раніше масово задокументована в Південно-Східній Азії (Камбоджа, М’янма, Лаос), тепер фіксується і в регіоні MENA, що свідчить про географічне розширення цієї практики.

Роль приватного сектору

В операції брали участь компанії з приватного сектору. Group-IB повідомила, що надала розвідувальні дані щодо більш ніж 5 000 скомпрометованих облікових записів, зокрема пов’язаних з державною інфраструктурою, а також інформацію про активну фішингову інфраструктуру в регіоні. Team Cymru також заявила про підтримку операції, наголосивши на необхідності координації між правоохоронними органами та приватним сектором.

Участь компаній, що спеціалізуються на аналізі загроз, у подібних операціях стає стандартною практикою: правоохоронні органи отримують технічну експертизу та доступ до даних телеметрії, якими самостійно не володіють, а компанії — легітимізацію своїх розвідувальних можливостей.

Контекст: хвиля правоохоронних дій

Операція Ramz вписується в серію масштабних правоохоронних акцій останніх тижнів. Серед найважливіших:

• Dream Market — висунуто обвинувачення в легалізації доходів, одержаних злочинним шляхом, Ове Мартіну Андресену (Speedstepper), ймовірному головному адміністратору даркнет-маркетплейсу, заарештованому в Німеччині.
• Crimenetwork — закрито перезапущену версію маркетплейсу (оригінал було ліквідовано в грудні 2024 року), заарештовано ймовірного адміністратора — 35-річного громадянина Німеччини — на Мальорці.
• Kingdom Market — адміністратор Алан Білл із Братислави засуджений до 200 місяців (понад 16 років) позбавлення волі за збут наркотиків, викрадених фінансових даних, підроблених документів і зловмисного програмного забезпечення.
• Криптовалютне шахрайство — Марлон Ферро (GothFerrari), 20 років, засуджений до 78 місяців ув’язнення за участь у схемі соціальної інженерії, що викрала понад 250 мільйонів доларів у криптовалюті. Схема поєднувала онлайн-шахрайство з фізичними крадіжками апаратних гаманців.
• Видалення держданих — Сохаїб Ахтер визнаний винним у видаленні 96 баз даних з інформацією уряду США та викраденні пароля у відкритому вигляді з порталу Комісії з рівних можливостей працевлаштування.

У сукупності ці дії демонструють системне посилення тиску на інфраструктуру кіберзлочинності за всіма напрямами — від даркнет-маркетплейсів до фішингових платформ і схем соціальної інженерії.

Практичні рекомендації

Результати операції Ramz виявляють кілька практичних пріоритетів для організацій у регіоні MENA та за його межами:

• Аудит серверної інфраструктури — випадок в Омані демонструє, що легітимні сервери з критичними вразливостями в приватних мережах стають точками компрометації. Проведіть інвентаризацію всіх серверів, включно з тими, що розміщені поза корпоративними ЦОД.
• Моніторинг скомпрометованих облікових записів — понад 5 000 скомпрометованих акаунтів, зокрема державних, вказують на масштабний витік облікових даних. Запровадьте моніторинг витоків і примусову ротацію паролів для привілейованих облікових записів.
• Перевірка кінцевих точок — ситуація в Катарі, де власники пристроїв не знали про компрометацію, підкреслює необхідність регулярного сканування на наявність зловмисного програмного забезпечення й аномальної мережевої активності.
• Навчання співробітників — фішингові платформи «як послуга» знижують поріг входу для зловмисників, збільшуючи обсяг і якість фішингових атак. Оновіть програми з підвищення обізнаності з урахуванням актуальних регіональних шаблонів.

Операція Ramz — перший прецедент скоординованої кіберполіцейської операції такого масштабу в регіоні MENA. Її головна цінність не стільки в кількості арештів, скільки у створенні дієвої моделі міждержавного співробітництва в регіоні, де подібна координація раніше була відсутня. Організаціям, що працюють у цих юрисдикціях, рекомендується використати результати операції як підставу для перегляду власних моделей загроз — зокрема, врахувати зростання платформ «фішинг як послуга» та розширення схем примусового кібершахрайства за межі Південно-Східної Азії.