Главная » Тенденции

Отчет Европола по тенденциям киберпреступности

Тенденции
На чтение 7 мин Просмотров 387 Опубликовано

Европол выпустил отчет «The evolving threat landscape. How encryption, proxies and AI are expanding cybercrime.
Internet Organised Crime Threat Assessment (IOCTA) 2026«, посвященный обзору ключевых трендов, которые отмечают европейские полицейские в Интернет. Европол описывает киберпреступность как все более скоростную, сервисную, анонимизированную и фрагментированную экосистему. И помогают преступникам в этом три больших ускорителя – шифрование/E2EE, прокси и анонимизирующая инфраструктура, ИИ/автоматизация. Это создает для правоохранителей большой зазор – преступные операции запускаются, масштабируются и меняют инфраструктуру быстрее, чем их успевают расследовать и блокировать/нейтрализовывать.

Раздел отчета про детскую онлайн-порнографию опускаю.

Содержание
  1. Что помогает преступности действовать на опережение?
  2. Дарквеб не исчезает после отключений, а дробится и мигрирует
  3. Граница между surface web, dark web и мессенджерами размывается
  4. Криптовалюты остаются финансовым клеем экосистемы
  5. DNS стал полноценной криминальной инфраструктурой доставки
  6. ИИ и автоматизация — не отдельная угроза, а ускоритель всей экосистемы
  7. Криминальная инфраструктура онлайн-мошенничества
  8. Онлайн-мошенничество становится индустриальным и скоростным
  9. Реклама ВПО и крупные онлайн-платформы становятся каналом таргетинга
  10. SIM-боксы остаются критически важным «железным» компонентом массового фрода
  11. Фрод-инфраструктура уходит от коммерческого bulletproof hosting к собственной инфраструктуре
  12. Криптодрейнеры дозрели до CaaS-модели
  13. Агентский ИИ – следующий скачок для мошенничества
  14. Кибератаки, шифровальщики, инфостилеры, DDoS
  15. Ransomware остается ключевой угрозой, но рынок становится более фрагментированным
  16. Вымогательство сместилось от «зашифровали – купите дешифратор» к «заплатите, чтобы данные не утекли»
  17. RaaS расширяет продуктовую линейку
  18. Initial access остается многоканальным
  19. Инфостилеры стали инфраструктурным поставщиком всего рынка
  20. Хакерские коалиции угрожают бигтехам и клиентским данным
  21. DDoS все чаще находится на стыке киберпреступности и гибридных угроз
  22. Резюме

Что помогает преступности действовать на опережение?

Дарквеб не исчезает после отключений, а дробится и мигрирует

Europol отмечает не столько «смерть дарквеб-маркетов», сколько их фрагментацию, специализацию и устойчивость. После закрытия крупных площадок пользователи быстро мигрируют, а новые площадки появляются почти сразу. Форумы становятся не просто торговыми витринами, а «хабами миграции», рекрутинга, обучения, обмена украденными данными и инструментами.

От себя добавлю, что это была предсказуемая история и бороться с ней не могут ни в одной стране. Бюрократия любой правоохранительной структуры или спецслужбы не способна дать адекватный ответ на это. Увы…

Граница между surface web, dark web и мессенджерами размывается

Криминальная коммуникация все чаще строится как гибрид: дарквеб + обычные платформы + E2EE-мессенджеры + анонимизирующие сервисы. Это важно: преступная инфраструктура становится менее «локализуемой» в одном месте. Она распределена по каналам, юрисдикциям и сервисам.

И это тоже было предсказуемо. Любая централизация имеет слабое место. И когда его накрывают логично появляется либо новый центр, либо он размывается в рамках распределенной системы.

Отсюда вытекает и вывод, о котором в отчете явно не сказано, но он считывается исходя из логики действия почти любой правоохранительной структуры – что Европол, что ФБР, что МВД. Мессенджеры – это зло и с ними надо бороться, пытаясь взять под контроль их владельцев.

Криптовалюты остаются финансовым клеем экосистемы

Для шифровальщиков и других схем криптовалюты остаются предпочтительным способом платежа. Европол отдельно подчеркивает рост интереса к криптовалютам с повышенной приватностью транзакций (например, Monero), миксерам, оффшорным обменникам и другим инструментам, которые усложняют отслеживание денег и международное сотрудничество.

DNS стал полноценной криминальной инфраструктурой доставки

Злоумышленники используют окно между регистрацией домена и реакцией правоохранителей/провайдеров. Злоупотребление DNS связывает инфраструктуру преступников с жертвами: фишинговые домены, имитация легитимных сайтов, доставка вредоносного ПО, C2 и поддержка онлайн-мошенничества.

ИИ и автоматизация — не отдельная угроза, а ускоритель всей экосистемы

ИИ используется для масштабирования операций, генерации сценариев общения, помощи в программировании, усиления социальной инженерии и настройки криминальных LLM. Европол отдельно пишет про модели, адаптированные для преступных целей: семплы вредоносов, инструкции по мошенничеству, настройка инфраструктуры для сокрытия и т.п.

Криминальная инфраструктура онлайн-мошенничества

В этом разделе отчета Европол говорит прежде всего о следующих схемах онлайн-мошенничества: инвестиционное мошенничество, криптомошенничество, BEC, романтический фрод, маскировка под техподдержку, мошенничество против платежных систем и т.п.

Онлайн-мошенничество становится индустриальным и скоростным

Европол называет фрод-схемы самой быстрорастущей областью организованной преступности. Главный сдвиг: это уже не только объем и разнообразие схем, но и скорость, масштаб, операционная безопасность и трансграничность. Генеративный ИИ помогает персонализировать легенды, обходить языковые барьеры и масштабировать атаки на граждан ЕС.

Реклама ВПО и крупные онлайн-платформы становятся каналом таргетинга

Преступники используют рекламу на крупных платформах для таргетинга жертв, особенно в криптоинвестиционном мошенничестве. Важный вывод: инфраструктура мошенничества все сильнее паразитирует на легальных рекламных и коммуникационных экосистемах.

Ждем требований по кибербезу к таким площадкам? Меня на ВК достает постоянный скам. Раньше он был на Facebook, но потом мигрировал в отечественную соцсеть.

SIM-боксы остаются критически важным «железным» компонентом массового фрода

Европол подчеркивает, что устойчивость некоторых мошеннических сетей зависит от возможности массово покупать и активировать SIM-карты. Пока это возможно, инфраструктура может восстанавливаться почти бесконечно. В качестве ответа полиция Старого Света указывает на защиту от спуфинга номеров и более строгую идентификацию в телеком-индустрии.

Тут Европа идет в ногу с Россией с ее пакетом законодательных инициатив «Антифрод» и «Антифрод 2» (ну и «Антифрод 3» тоже).

Фрод-инфраструктура уходит от коммерческого bulletproof hosting к собственной инфраструктуре

Некоторые сети разворачивают собственные серверы и инфраструктуру, чтобы обходить KYC, ломать традиционную цепочку получения доказательств и снижать зависимость от провайдеров. Это делает расследование сложнее: меньше точек давления, больше проблем с локализацией и изъятием.

Не поэтому ли у нас взялись за регулирование хостинга и установление к ним специальных требований по кибербезу?

Криптодрейнеры дозрели до CaaS-модели

Кража цифровых активов через дрейнеры описывается как зрелый Crime-as-a-Service-сегмент. Этому помогает распространение DeFi, разнообразие цифровых активов и использование таких активов для отмывания денег.

Криптодрейнер — это вредоносное ПО, предназначенное для автоматической кражи криптовалюты и NFT с кошельков пользователей.

Агентский ИИ – следующий скачок для мошенничества

Европол осторожно, но явно прогнозирует переход от генеративного ИИ как помощника к агентскому ИИ как автономному исполнителю частей криминального процесса: планирование, коммуникации, инфраструктура, фильтрация жертв, масштабирование операций.

И первые примеры уже есть – в дарквебе рекламируются различные ИИ-оркестраторы для агентов, каждый из которых решает свою узкую задачу – OSINT, фишинг, поиск уязвимостей, чатбот и т.п.

Кибератаки, шифровальщики, инфостилеры, DDoS

Ransomware остается ключевой угрозой, но рынок становится более фрагментированным

В 2025 году Европол наблюдал более 120 активных ransomware-брендов. Ландшафт стал нестабильным: много новых брендов, конкуренция, ребрендинг, короткая жизнь группировок, переиспользование кода, пересечение администраторов, аффилиатов, инфраструктуры атак, прокси и отмывание денег.

Вымогательство сместилось от «зашифровали – купите дешифратор» к «заплатите, чтобы данные не утекли»

Европол фиксирует сдвиг фокуса: данные стали главным активом давления. Шифрование уже не единственный и не всегда основной рычаг; все важнее утечки, публикация, DDoS, холодные прозвоны, психологическое давление и многократное вымогательство.

RaaS расширяет продуктовую линейку

Ransomware-as-a-Service-группы конкурируют за аффилиатов, добавляют новые функции, кастомизацию брендинга и элементы на базе ИИ. По сути, ransomware все больше похож на криминальный SaaS/партнерскую программу с маркетингом, функциональным развитием и борьбой за исполнителей.

Initial access остается многоканальным

Среди типовых векторов Европол называет фишинг, инфостилеры, эксплуатацию непатченных публичных приложений, Initial Access Brokers и другие способы. Это подтверждает давно известный вывод: защита ransomware не сводится к антивирусам, EDR и резервным копиям; надо закрывать всю поверхность атаки – доступы, уязвимости, учетки и цепочку поставок.

Инфостилеры стали инфраструктурным поставщиком всего рынка

Европол подчеркивает, что инфостилеры обслуживают широкий спектр киберпреступников: Initial Access Brokers, ransomware-аффилиатов, мошенников и других акторов. Это уже не «просто ВПО для кражи паролей», а сырьевая база для последующих атак, мошенничества и вымогательства. И, конечно же, узкая специализация!

Хакерские коалиции угрожают бигтехам и клиентским данным

Отчет отдельно отмечает появление в 2025 году предполагаемого альянса Scattered LAPSUS$ Hunters, связанного со Scattered Spider, ShinyHunters и LAPSUS$. Европол описывает такие коалиции как угрозу для крупных технологических компаний, правительств, частных компаний и клиентских данных.

DDoS все чаще находится на стыке киберпреступности и гибридных угроз

Финансовая мотивация остается доминирующей, но Европол подчеркивает размывание границы между обычной киберпреступностью и государственно-ориентированными гибридными угрозами. DDoS, вторжения, кража данных и ransomware могут использоваться для дестабилизации, давления на институты и подрыва доверия к государствам и критической инфраструктуре.

В России финансовая мотивация атакующих ушла на второй план на фоне СВО.

Резюме

Многие из описанных тенденций актуальны и для России, что подтверждают отечественные исследования от частных компаний (правоохранительные структуры у нас не радуют такой аналитикой, к сожалению). Например, Positive Technologies недавно выпустила исследование о Cybercrime-as-a-Service, хактивистах и APT, дарквебе и т.п. Ну и другие коллеги дополняют эту аналитику.

APT мошенничество
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.