Организовывавшие DDoS-атаки украинские киберпреступники наконец пойманы

Организовывавшие DDoS-атаки украинские киберпреступники наконец пойманы

Организовывавшие DDoS-атаки украинские киберпреступники наконец пойманы

Интернет-холдингу Dating.com Group совместно с экспертными организациями в области кибер-безопасности – Group-IB и Qrator Labs, удалось вычислить и привлечь к судебной ответственности украинскую хакерскую группу, занимавшуюся вымогательством и проведением DDoS-атак на международные интернет-компании в течение 2-х лет.

В результате совместной работы по предотвращению атаки, установлению личностей участников хакерской группы и сбору доказательств для судебного преследования на Украине создан первый в истории прецедент по установлению полной меры уголовного наказания за кибер-преступление.

В 2015 и 2016 гг. один из проектов холдинга Dating.com Group – международный сервис онлайн-знакомств AnastasiaDate – столкнулся с мощными повторяющимися DDoS-атаками. Они вызвали многочасовые перебои в работе и отказ в обслуживании сайта компании. Каждый раз с представителями компании связывались организаторы атак и требовали вознаграждение за прекращение нападений на ресурс: с каждой атакой сумма увеличивалась в несколько раз.

Служба безопасности интернет-холдинга Dating.com Group обратилась к специалистам Group-IB за помощью в установлении личностей участников хакерской группы причастных к организации DDoS. Эксперты отдела расследований Group-IB проанализировали цифровые следы атаки и установили не только личности злоумышленников, но и цепочку других инцидентов, следы которых вели к тем же вымогателям. Ими оказались граждане Украины Гайк Гришкян, 1994 года рождения, и Инна Яценко, 1986 года рождения. В ходе расследования Group-IB выяснилось, что указанный ресурс был не единственной жертвой вымогателей. Группа хакеров под руководством Инны Яценко занималась блокировкой американских серверов, используя метод, известный как DDoS-атака, а затем пыталась вымогать средства у международных интернет-компаний. Атаке подвергались интернет-магазины, сайты букмекерских фирм, лотерейных и игровых компаний. В частности, жертвами «работы» украинских мошенников стала американская компания Stafford Associates, специализирующаяся на предоставлении услуг по аренде мощностей дата-центров и хостинга, а также сервис онлайн-платежей PayOnline.

«В ходе первой атаки фильтрационная сеть Qrator заблокировала приблизительно 2 000 IP-адресов. Не было заметно всплесков ни в количестве отправленных пакетов, ни принятых запросов. Снижение производительности приложения и сервера (увеличение задержек на ответ клиенту до 1 секунды представляет собой сильнейшую деградацию сервиса - ухудшение его работы), говорит о целенаправленной атаке прикладного уровня на специфическую уязвимую точку в архитектуре приложения. В ходе нейтрализации второй мощнейшей DDoS-атаки канального уровня в 20 Гбит/секунду на инфраструктуру компании сеть Qrator заблокировала более 10 000 IP-адресов. В случае успеха подобная атака может нанести непоправимый урон бизнесу, поставив его на грань выживания», — рассказывает основатель и CEO Qrator Labs Александр Лямин.

После сбора всех необходимых доказательств в декабре 2016 года на основании заявления потерпевших Национальная полиция Украины возбудила уголовное дело. В марте 2017 года в квартирах и офисах злоумышленников прошли обыски, в результате которых были изъяты компьютеры и мобильные телефоны. Судебная криминалистическая экспертиза подтвердила, что на конфискованных устройствах хранятся неопровержимые доказательства причастности Яценко и Гришкяна к вымогательствам в 2015 и 2016 годах. В ходе расследования Гришкян и Яценко признали свою вину по инкриминируемым эпизодам, в начале 2018 года суд приговорил каждого к 5 годам лишения свободы (условно).

«Это первое на Украине масштабное международное дело о DDoS-вымогательстве, которое было раскрыто с участием экспертов Group-IB и доведено до приговора, – комментирует Илья Сачков, CEO Group-IB. – Этот прецедент во многом показателен: он демонстрирует слаженную и эффективную работу международных партнеров, позволившую добиться цели и довести дело до суда. Неважно, где именно совершается преступление – на улице, в банке или в Интернете – преступник понесет за него заслуженное наказание. Важно понимать, что никогда и ни при каких обстоятельствах никто не должен платить выкуп злоумышленникам и тем самым спонсировать преступность. В «диалог» с преступниками должны вступать только профессиональные организации, имеющие подобный опыт и экспертизу».

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru