#CyberMagazyn: Europa Wschodnia centrum światowej cyberprzestępczości

Cyberprzestępczość jest obecnie z najpoważniejszych zagrożeń dla światowej gospodarki i bezpieczeństwa – szkody szacuje się w bilionach dolarów rocznie. Szczególnie silnie zjawisko to rozwinęło się w Rosji, na Ukrainie oraz w pozostałych państwach powstałych po rozpadzie Związku Sowieckiego - wynika z raportu„Lawless Cyberspace: Why Eastern Europe Leads Global Cybercrime”, opublikowanego przez Global Initiative Against Transnational Organized Crime (2025).

Jego autor Luke Rodeheffer, ekspert w zakresie cyberprzestępczości w Europie Wschodniej, zwraca uwagę,że ataki ransomware stało się najbardziej dochodową formą cyberprzestępczości w tym regionie, wyprzedzając inne działania, takie jak oszustwa związane z kartami kredytowymi i operacje botnetów. 

Rosyjskojęzyczni cyberprzestępcy dominują w globalnym przemyśle ransomware, a szacunkowo 75% przychodów z tego typu ataków trafia do aktorów powiązanych z rosyjskojęzycznym podziemiem. Pomimo międzynarodowych sankcji i wysiłków zmierzających do likwidacji, gangi ransomware dostosowały się, działając jak ustrukturyzowane organizacje z zespołami zarządzającymi, a nawet fizycznymi biurami. 

W raporcie podkreślono, że to kryptowaluty napędzają cyberprzestępczość i pomagają Rosji unikać sankcji finansowych. Skradzione fundusze z cyberataków są prane za pośrednictwem nieuregulowanych giełd kryptowalut, co pozwala przestępcom na przesyłanie pieniędzy przez granice bez wykrycia. 

Jednocześnie firmy fasadowe i nielegalne sieci finansowe są wykorzystywane do omijania ograniczeń nałożonych przez rządy zachodnie, co stwarza nowe wyzwania dla globalnego bezpieczeństwa finansowego.

Region Europy Wschodniej – jak uważa Luke Rodeheffer – stał się miejscem, gdzie działają jedne z najbardziej zaawansowanych technicznie grup przestępczych zajmujących się działalnością hakerską. Ta część świata stała się globalnym centrum cyberprzestępczości, z uwzględnieniem długofalowych przyczyn, takich jak:

• dziedzictwo zimnej wojny i transformacji ustrojowej,
• ogromne zasoby specjalistów IT, którzy w warunkach słabego państwa prawa wybierali nielegalne źródła dochodu,
• powszechne korzystanie z firm-wydmuszek, prania pieniędzy oraz mało uregulowanego rynku kryptowalut,
• brak międzynarodowej współpracy w obliczu rosnącego napięcia między Rosją a Zachodem.

Równocześnie wojna Rosji z Ukrainą zmieniła mapę cyberprzestępczości w regionie. 

Jak Związek Sowiecki stworzył podstawy informatyczne

W okresie zimnej wojny Związek Radziecki kładł silny nacisk na kształcenie inżynierów i specjalistów w dziedzinie matematyki oraz kryptografii. W radzieckim systemie edukacji organizowano liczne konkursy i obozy szkoleniowe dla wybitnie uzdolnionych uczniów. Istniały też wyspecjalizowane instytuty, np. elitarne ośrodki kryptograficzne KGB, a w późniejszym czasie – Akademia Kryptografii, Sieci Komputerowych i Informatyki. Absolwentem jednej z takich placówek był m.in. Jewgienij Kasperski, założyciel znanej firmy z branży cyberbezpieczeństwa 

Po rozpadzie ZSRR, w Rosji i kilku innych państwach regionu nadal doceniano rangę wykształcenia informatycznego. Władze dostrzegały rosnący potencjał IT – zarówno gospodarczy, jak i militarny. Na wielu uczelniach powstały kierunki kształcące specjalistów w dziedzinie bezpieczeństwa sieci. Sporo późniejszych czołowych cyberprzestępców i ekspertów bezpieczeństwa, np. Dmitrij Smilianets czy Ilja Saczkow, wywodzi się właśnie z takich uczelni 

Transformacja gospodarcza: „dzika” prywatyzacja i nierówności

Gwałtowny rozpad Związku Radzieckiego w latach 90. XX wieku przyniósł głęboki kryzys polityczny i gospodarczy. Znaczna część wysoko wykwalifikowanych specjalistów IT i matematyków straciła pracęlub odnotowała drastyczny spadek zarobków, co w efekcie skłoniło wielu do poszukiwania alternatywnych, w tym nielegalnych metod zarobkowania. Jednocześnie w realiach słabego państwa prawa i w sytuacji braku uregulowań dotyczących internetu, który dopiero się rozwijał, działalność cyberprzestępcza kwitła niemal bez przeszkód.

Wczesne etapy cyberprzestępczości: piractwo i „carding”

W latach 90. i na początku XXI wieku prym wiodło nielegalne kopiowanie oprogramowania (tzw. „warez”) oraz kradzieże danych kart płatniczych (tzw. „carding”). Podłożem rozwoju cardingu była m.in. słabo chroniona infrastruktura płatności, a także brak spójnego prawa regulującego przestępstwa komputerowe. 

Kluczową rolę w upowszechnieniu cyberprzestępczości w regionie odegrały internetowe fora (np. CarderPlanet, założone przez Romana Vegę), gdzie dzielono się informacjami na temat kopiowania kart czy włamywania do systemów punktów sprzedaży (POS). Vega został ostatecznie aresztowany i skazany w USA, lecz w jego ślady poszły dziesiątki innych grup i forów.

Rozkwit przestępczości sieciowej w postsowieckich „szarych strefach”

Przekształcenia ustrojowe w państwach dawnego bloku wschodniego sprzyjały powstawaniu licznych spółek-wydmuszek i firm offshore. Ułatwiało to pranie pieniędzy na masową skalę i odbierało służbom możliwość skutecznego ścigania. 

Cyberprzestępcy zaczęli specjalizować się w usługach „cash-out”, oferując przelewy na fałszywe konta, tworzenie fikcyjnych spółek i szybką legalizację dochodów z kradzieży kart czy oszustw internetowych.

W pewnym momencie uruchomiono nawet międzynarodowe systemy płatnicze nastawione na szybkie i niezweryfikowane transakcje, np. Liberty Reserve Arthura Budowsky’ego. Budowsky został później skazany w USA na 20 lat pozbawienia wolności. 

Pomimo takich uderzeń w infrastrukturę przestępczą, cyberprzestępstwo ewoluowało w stronę jeszcze bardziej anonimowych mechanizmów, zwłaszcza wraz z rozwojem kryptowalut.

Zyski z ransomware

Około 75% przychodów z ataów z użyciem ransomware na świecie trafia do grup rosyjskojęzycznych. Ransomware, polegające na blokowaniu danych i żądaniu okupu w kryptowalutach, okazało się znacznie bardziej intratne niż klasyczny carding. 

Struktury grup cyberprzestępczych przybierają czasem formę zhierarchizowanych „firm” z działami HR, programistami i działem PR. Ataki te nie ustają mimo sankcji nakładanych przez USA czy Unię Europejską. 

Przykładem może być grupa Evil Corp, którą amerykańskie służby oskarżyły o kradzież setek milionów dolarów, przy jednoczesnym powiązaniu z rosyjskimi służbami bezpieczeństwa.

Wykorzystywanie terytoriów o niejasnym statusie prawnym

Nierozwiązane spory graniczne i tzw. „zamrożone konflikty” (np. w Naddniestrzu, Abchazji, Osetii Południowej czy w okupowanych częściach Ukrainy) tworzą idealne „szare strefy” do prowadzenia działalności cyberprzestępczej.

Brak uznania międzynarodowego i faktyczna kontrola lokalnych przestępców (często pod parasolem rosyjskich „sił pokojowych”) sprawiają, że regiony te służą jako bazy dla centrów danych i usług hostingowych sprzyjających atakom.

Przykładowo, w 2019 roku na Ukrainie aresztowano w Odessie Michaiła Rytikowa, hakera odpowiedzialnego m.in. za włamania do systemu giełdy NASDAQ. Wykorzystywał infrastrukturę serwerową rozproszoną w kilku krajach, w tym na terytoriach pozostających poza skuteczną kontrolą międzynarodowego wymiaru sprawiedliwości.

Współpraca hakerów z rosyjskimi służbami. „Nie dotykaj Rosji, a Rosja nie tknie ciebie”

Od lat w cyberprzestępczym półświatku regionu obowiązuje niepisana zasada, by nie atakować instytucji rosyjskich ani państw Wspólnoty Niepodległych Państw. Hakerzy, którzy to ignorują, często trafiają na celownik FSB. 

Gdy jednak ktoś jest zdolny i przestrzega „reguł”, bywa, że w zamian za nietykalność współpracuje z rosyjskimi służbami. Najbardziej jaskrawym przykładem kooperacji świata przestępczego z państwem są ustalenia wokół grupy Evil Corp, która przez lata prowadziła ataki z użyciem złośliwego oprogramowania Dridex i BitPaymer. 

W 2019 roku amerykański Departament Skarbu nałożył na nią sankcje, zarzucając liderowi grupy, Maksimowi Jakubcowi, ścisłą współpracę z FSB i uzyskiwanie od niej dostępu do informacji niejawnych.

Wojna. Rozłam między rosyjskimi a ukraińskimi cyberprzestępcami

Inwazja Rosji na Ukrainę w lutym 2022 roku doprowadziła do trwającego już przeszło dwa lata konfliktu na pełną skalę i zarazem odmieniła relacje na forach hakerskich. 

Kiedy grupa ransomware Conti po wybuchu wojny wyraziła poparcie dla Rosji, część jej ukraińskich członków ujawniła wewnętrzne rozmowy i plany gangu. Doszło do silnego pogłębienia nieufności między przestępcami obu stron, a na wielu forach języka rosyjskiego wybuchły konflikty na tle narodowościowym. 

Specjaliści oceniają, że w wyniku wojny część współpracy rosyjsko-ukraińskiej w cyberprzestępczości uległa trwałemu zerwaniu. Nie jest jednak przesądzone, czy to rozstanie okaże się nieodwracalne; w cyberpodziemiu duży nacisk kładzie się na anonimowość.

Ukraińskie call centers atakują Rosjan

Osobnym fenomenem stały się masowe ataki telefonicznych centrów oszustw (tzw. „call centers”) działających z Ukrainy. Ich celem coraz częściej są obywatele Rosji – wykorzystuje się m.in. znajomość języka rosyjskiego do manipulowania ofiarami i przejmowania środków finansowych, a nawet namawiania ich do czynów karalnych. 

Według danych Sberbanku, aż 90% naciągaczy działających na rosyjskim rynku telefonicznym ma zaplecze na Ukrainie. Tego typu operacje przynoszą olbrzymie zyski (nawet 2 mld dolarów rocznie), a zdobyte środki przepuszczane są przez anonimowe giełdy kryptowalut.

Haktywizm – cyfrowy front wojny

Od początku inwazji rozwinęła się też prawdziwa „cyberpartyzantka”. Po stronie rosyjskiej działają m.in. takie grupy jak Killnet czy Cyber Army of Russia, przeprowadzające ataki DDoS na cele w Ukrainie i na Zachodzie. Niektóre mają bezpośrednie powiązania z rosyjskimi służbami np. z GRU. 

Z kolei Ukraińcy uruchomili „IT Army of Ukraine”, która koordynuje ataki na infrastrukturę rosyjską poprzez Telegram. Bardziej zaawansowane grupy, jak Ukrainian Blackjack czy KibOrg, specjalizują się w niszczeniu danych (tzw. wiper malware) oraz kradzieży informacji.

Wiper malware: nowa broń w konfliktach

Zarówno Rosja, jak i Ukraina używają złośliwego oprogramowania niszczącego dane (wiper malware), które w przeciwieństwie do ransomware nie czeka na okup – po prostu usuwa dane, powodując ogromne szkody także w infrastrukturze cywilnej. W 2022 roku Ukraina doświadczyła rekordowej liczby tego typu ataków.

Kryptowaluty jako główne narzędzie prania pieniędzy i omijania sankcji

Masowe odejście z Rosji konwencjonalnych operatorów kart płatniczych (Visa, Mastercard, American Express) w 2022 roku, zachęciło do jeszcze szerszego wykorzystania kryptowalut. Szacuje się, że Rosjanie przeprowadzili transakcje na łączną kwotę przekraczającą 4,5 biliona rubli w 2023 roku. 

Kryptowaluty są wykorzystywane przez:

• hakerów – do szybkiego transferu środków z przestępstw,
• zwykłych obywateli – unikających kontroli bankowej lub chcących chronić oszczędności,
• rząd Rosji – który szuka sposobów obejścia sankcji międzynarodowych i prowadzenia handlu bez dostępu do SWIFT.

Mimo że wiele platform kryptowalutowych zostało objętych sankcjami (np. Garantex w 2022, ponownie w 2024), wciąż działają dziesiątki nieuregulowanych giełd i kantorów, również na Telegramie, gdzie organizuje się dostawę gotówki kurierami. 

Z tej racji Departament Skarbu USA prowadził śledztwo w sprawie transakcji kryptowalutowych na kwotę ponad 20 miliardów dolarów, które przeszły przez wspomnianą rosyjską wirtualną giełdę Garantex. Firma została oskarżona o „dopuszczenie do nadużywania swoich systemów przez nielegalnych aktorów”, w tym poprzez ignorowanie zobowiązań do zwalczania prania pieniędzy i finansowania terroryzmu. 

Służby USA powiązały ją z transakcjami obejmującymi nielegalną działalność o wartości ponad 100 milionów dolarów. Co ciekawe, Garantex informował na swojej stronie internetowej, że umożliwia wypłaty za pomocą kart Sbierbanku Rosji PJSC, Tinkoff Banku JSC i Alfa-Banku JSC – rosyjskich banków, które zostały objęte sankcjami USA. 

Nowe szpiegostwo przemysłowe?

Zimnowojenne praktyki ZSRR w zakresie szpiegostwa przemysłowego powracają w związku z dążeniem Rosji do „suwerenności technologicznej” i zastąpienia zachodnich technologii rodzimymi rozwiązaniami. 

W czerwcu 2022r Putin w trakcie spotkania w siedzibie SWR stwierdził, że jednym z głównych celów jest ułatwianie rozwoju potencjału przemysłowego: „Jak dotychczas, jednym z priorytetów pracy SWR jest wspieranie rozwoju potencjału przemysłowego”.

Obserwuje się wzrost aktywności rosyjskich grup APT (Advanced Persistent Threat) skierowanych przeciw przedsiębiorstwom technologicznym z USA i Europy. Według ekspertów, rosyjskie służby i świat cyberprzestępczy jeszcze mocniej zintegrują się w celu pozyskiwania technologii i omijania sankcji.

Zaostrzenie kontroli internetu w Rosji

Wraz z rozwojem wojny Kreml wprowadza surowsze ograniczenia wolności w internecie, blokuje popularne VPN-y, a także uruchamia własny system certyfikatów TLS. Dzięki temu władze mogą potencjalnie monitorować ruch użytkowników i przechwytywać ich dane.

Co to oznacza dla cyberprzestępców? Wielu z nich i tak posługuje się narzędziami zapewniającymi znacznie głębszą anonimowość niż standardowy VPN. Jednak niektóre mniej zaawansowane osoby mogą wpaść w sidła rosyjskich służb, co w praktyce oznacza szansę na „zwerbowanie” do ataków wspierających państwo.

Konieczne zdecydowane działania

Wojna rosyjsko-ukraińska pogłębiła chaos w cyberprzestrzeni i wyostrzyła tendencje do wykorzystywania hakerów we wspieraniu celów państwowych. 

Powstałe tzw. „szare strefy” postsowieckie (m.in. Krym, Donbas, Naddniestrze) pozostają dogodnym terenem do prowadzenia działalności cyberprzestępczej – poza zasięgiem efektywnej międzynarodowej kontroli. 

Pojawienie się kryptowalut spowodowało, że stały się kluczowym narzędziem prania pieniędzy i umożliwiły cyberprzestępcom łatwe przesyłanie środków. Nasilają się ataki ransomware i jednocześnie pojawiają się złośliwe programy wiper niszczące dane. 

Nastąpiło zatarcie granicy między infrastrukturą militarną a cywilną

Rosja a zwłaszcza jej służby wykorzystujące cyberprzestępców do swych celów nie jest zainteresowana globalną kooperacją w zwalczaniu tego procederu. Także Ukraina nie podejmuje żadnych zdecydowanych działań, aby zlikwidować działające na jej terenie call centers oszukujące Rosjan. To może się okazać dla niej problemem po zakończeniu wojny, gdy tak rozbudowane struktury przestępcze trudno będzie zlikwidować. 

Stąd też Luke Rodeheffer zwraca uwagę, że niezbędne jest podjęcie zdecydowanych działań zaradczych, którymi mają być : 

• Udoskonalenie narzędzi do monitorowania transakcji w blockchain: uregulowanie sektorów kryptowalut, wymuszenie większej przejrzystości giełd i kantorów online.
• Zacieśnienie współpracy międzynarodowej w zakresie wymiany danych wywiadowczych i wspólnych operacji policyjnych przeciwko przestępcom przeprowadzającym ataki z terytoriów o niejasnym statusie prawnym.
• Ograniczenie rozrostu call centers na Ukrainie, zanim staną się na trwałe dużą siłą przestępczą, która po wojnie może się przestawić na oszustwa wobec innych krajów.
• Podniesienie standardów cyberhigieny w organizacjach na całym świecie, zwłaszcza w kontekście ataków wiper i ransomware, które zyskały na sile od początku konfliktu w Ukrainie.
• Analiza metod obchodzenia sankcji przez Rosję z wykorzystaniem kryptowalut i wdrażanie skutecznych mechanizmów blokujących takie transfery.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].