Rosja „zarządza” cyberprzestępcami? Nowe ustalenia: od tolerancji do aktywnego sterowania ekosystemem

Wprowadzenie do problemu / definicja zjawiska

Najnowsza analiza Recorded Future (Insikt Group) opisuje jakościową zmianę w relacjach państwo–podziemie w Rosji: od biernej tolerancji cyberprzestępców do aktywnego zarządzania nimi przez służby — z selektywnymi aresztami „użytecznych” ogniw łańcucha i ochroną graczy mających wartość wywiadowczą. Publiczne doniesienia i wycieki czatów mają wskazywać choćby na koordynację zadań między liderami grup a pośrednikami powiązanymi ze służbami.

W skrócie

• Po 2023 r. Rosja miała przejść od parasola ochronnego do sterowania rynkiem: pokazowe zatrzymania dotykają głównie „enablerów” (np. usługi cash-out), podczas gdy trzon gangów ransomware pozostaje nietknięty.
• Operacja Endgame (2024–2025) mocno uderzyła w łańcuch dostaw ransomware (dropp ery/loadery, botnety, infrastrukturę finansową), co wywołało reakcję i repozycjonowanie rosyjskich służb.
• Rosyjskie śledztwa i masowe zatrzymania po sankcjach wobec Cryptex/UAPS (ok. 100 osób, konfiskata ~16 mln USD) zbiegły się w czasie z działaniami Zachodu.
• Podziemie się fragmentuje: mniej otwartych rekrutacji RaaS, większa paranoja OPSEC, przejście na zamknięte kanały.

Kontekst / historia / powiązania

Operacja Endgame to skoordynowana akcja (UE/USA i partnerzy) rozbijająca infrastrukturę „dropperów” i botnetów (m.in. IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee), z setkami serwerów przejętych/wyłączonych i tysiącami domen pod kontrolą organów ścigania. Kontynuacja w 2025 r. uderzała w następców i nowe warianty, łącząc techniczne przejęcia z presją informacyjną (ujawnienia nazwisk, materiały wideo).

Równolegle, po sankcjach USA i komunikatach Endgame, Komitet Śledczy FR ogłosił śledztwa i zatrzymania powiązane z UAPS/Cryptex, prezentując spektakularne liczby zatrzymanych i zajętych aktywów — co analitycy interpretują jako zarządzanie reputacją i „regulację rynku”, nie jego likwidację.

Analiza techniczna / szczegóły zjawiska

Mechanizmy „zarządzania” wg Recorded Future:

• Selektywne egzekwowanie prawa: nacisk na infrastrukturę finansową (exchangi, usługi prania), mniejsza presja na rdzeń operatorów RaaS powiązanych z aparatem państwa.
• Kanonizacja „bezpiecznej przystani warunkowej”: ochronę zyskują podmioty mające użyteczność wywiadowczą/geopolityczną, podczas gdy „spieniężacze” stają się jednorazowi pod ostrzałem zewnętrznym.
• OPSEC i rekrutacja: spadek otwartych naborów RaaS, przejście w pół-zamknięte programy, twardsze KYC w podziemiu, decentralizacja komunikacji.
• Wyciek czatów Black Basta (kontynuacja linii Conti/TrickBot) dostarczył wglądu w strukturę, konflikty i relacje z dostawcami usług — a także wzmianki o rzekomych kontaktach niektórych liderów z rosyjskimi służbami.

W tle toczy się identyfikacja i „naming & shaming” figur kluczowych (np. przywództwa TrickBot/Conti w ramach Endgame), ale bez proporcjonalnych działań po stronie Rosji wobec najwyższych szczebli.

Praktyczne konsekwencje / ryzyko

• Trwalsze ekosystemy RaaS: mniejsza widoczność naborów ≠ mniejsza aktywność; rośnie bariera zaufania i jakość OPSEC operatorów.
• Pivot taktyczny: większa rotacja marek/aliasów, modularne „łańcuchy kill chain”, lepsze maskowanie TTPs, krótszy czas życia infrastruktur.
• Ryzyko geopolityczne: dobór ofiar może bardziej odzwierciedlać interesy państwowe (np. przemysł krytyczny, sektor publiczny, łańcuch dostaw), co utrudnia czystą kwalifikację „crime-only”.
• Compliance & ubezpieczenia: rośnie presja regulacyjna (raportowanie incydentów, ograniczenia płatności okupu), a decyzje o płatnościach niosą ryzyko sankcyjne.

Rekomendacje operacyjne / co zrobić teraz

1. Zerwać łańcuch dostaw RaaS:
   • Blokady loaderów/droppers (IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee) w EDR/NDR; kontinuum Threat Hunting pod IOC z biuletynów Endgame.
2. Hardening płatności i kryptoprzepływów:
   • Ekranizacja kanałów płatności (AML/KYC), weryfikacja pośredników, scenariusze OFAC/EU przy decyzjach okupu.
3. Segmentacja i kopie zapasowe klasy „restore-first”:
   • Testy odtwarzania, odseparowane kopie, kontrola uprawnień (PAW/JIT/JEA), honeytokens i DRaaS.
4. Minimalizacja blast radius:
   • U2F/FIDO2, phishing-resistant MFA, PAM, EDR z izolacją, canary accounts, blokady makr i włączona kontrola aplikacji.
5. Telemetry for intel:
   • Systematyczny log enrichment (DNS, DHCP, proxy, EDR, SaaS), mapowanie do MITRE ATT&CK, playbooki na TTP powiązane z TrickBot/Conti/Black Basta.
6. Ćwiczenia decyzyjne (war-gaming):
   • Scenariusze ataku sterowanego politycznie; ścieżki komunikacji/regulator, „no-ransom default” + ścieżki wyjątków.
7. Zgodność z wytycznymi LEA:
   • Monitoruj aktualizacje i IOC publikowane w ramach Endgame/FBI/Europol i włącz do pipeline’u detekcji.

Różnice / porównania z innymi przypadkami

• Dawniej (≈2014–2021): „tolerancja w zamian za lojalność” i okazjonalne zatrzymania pod presją; dziś — „sterowanie” rynkiem w reakcji na globalne operacje i koszty polityczne.
• Inne państwa sankcjonowane: podobne modele (parasole ochronne nad grupami APT/fin-crime), ale skala rosyjskiego RaaS-industrial complex i włączenie warstwy finansowej (exchangi, UAPS-like) czynią ekosystem bardziej modularnym i odpornym.

Podsumowanie / najważniejsze wnioski

• Teza „Controlled Impunity”: Rosja nie tyle likwiduje cyberprzestępczość, co steruje nią, godząc presję międzynarodową z własnym interesem.
• Endgame zmieniła opłacalność niektórych ról w łańcuchu ransomware (zwłaszcza cash-out), ale rdzeń operatorów pozostaje aktywny i adaptacyjny.
• Dla obrońców: przygotuj się na bardziej skryte RaaS, krótsze okna wykrycia i większy komponent geopolityczny w doborze celów.

Źródła / bibliografia

• SecurityWeek: Russian Government Now Actively Managing Cybercrime Groups (23 października 2025). (SecurityWeek)
• Recorded Future (Insikt Group): Dark Covenant 3.0: Controlled Impunity and Russia’s Cybercriminals (2025). (recordedfuture.com)
• Europol: Largest ever operation against botnets… (Operation Endgame) (29 maja 2024) oraz Operation Endgame strikes again (22 maja 2025). (Europol)
• FBI: Operation Endgame — Coordinated Worldwide Law Enforcement Action (28 maja 2024). (Federal Bureau of Investigation)
• CyberScoop / The Record: Russia arrests nearly 100… (UAPS/Cryptex) (2 października 2024). (CyberScoop)