Нигерийский принц и чернокожие любовницы. Как хакеры из Африки атакуют Россию

Опасные спамеры

Африканские хакерские группировки, как правило, нацелены на международный рынок. Они традиционно фокусируются на самых богатых странах – США, Европе, Азии. Но в России они тоже присутствуют, хотя многие компании, занимающиеся кибербезопасностью, признались SecPost, что пристально за ними не следят. Хакеры-африканцы считаются менее опасными, чем их европейские и азиатские коллеги, они не совершают сложные APT-атаки (тщательно спланированные атаки против конкретных организаций – ред.), не ведут киберразведку в пользу местных правительств. Но некоторые их схемы изобретательны и на них бывает, хотя и не часто, попадаются и россияне.

Например, в прошлом году специалисты Positive Technologies выявили хакеров из Африки, рассылавших зараженные письма, в том числе и в российские компании. Специалисты по кибербезопасности изучали крипто-сервис Crypters And Tools, используемый хакерами для маскировки вирусов. Как выяснилось, часть хакеров, использовавших его, были африканцами.

«Один из хакеров под ником bukky101 был из Нигерии. Он рассылал тысячами по всему миру электронные письма, содержащие стиллер Agent Tesla — популярный среди киберпреступников инструмент для кражи данных. В том числе часть из этих писем получили и российские компании», – рассказывает SecPost руководитель группы киберразведки Positive Technologies Алексей Банников.

Генеральный директор IT компании Lansecurity Николай Барков также говорит, что лично сталкивался с целевыми атаками африканских хакерских группировок на российские подразделения международных компаний. «Как правило, африканские хакеры шлют электронные письма в финансовые отделы компаний», – объясняет тактику этих групп эксперт.

Барков уточняет, что обычно участники африканских кибергруппировок маскируются под руководителей компаний или поставщиков. В их письмах нет вредоносных ссылок или вложений. Это особенно опасно, так как антивирусы не видят угрозы в их сообщениях. Хакеры же из Африки вступают в контакт с жертвой и занимаются социальной инженерией.

В компании F6 заявили, что периодически следят за африканскими хакерскими группировками. Так, например, в 2025 году специалисты компании наблюдали за активностью хактивистских групп Fallaga Team (происламистские хакеры из Туниса) и Anonymous Sudan (группировка из Судана, занимавшаяся крупными DDoS-атаками против западных компаний, в том числе OpenAI, Netflix, PayPal и т.д.). Однако в итоге в F6 выяснили, что эти группировки несмотря на то, что в списке их целей было более 30 стран, не опасны для России.

Все дело в том, что почти все атаки африканских групп построены на продолжительном живом контакте с жертвой и русский язык для них становится непреодолимой преградой.

Темнокожий дядюшка из Нигерии

Африканские хакерские группировки технически гораздо менее оснащены, чем группы, основанные выходцами из Европы, России или стран Азии, говорят опрошенные SecPost специалисты по кибербезопасности.

По словам Николая Баркова, у африканцев почти нет сложных вредоносных программ. Африканские хакеры действуют иначе. Они специализируются на e-mail-атаках, где их главный инструмент — это психологическая манипуляция.

«Африканские группировки, особенно нигерийские, почти монополизировали рынок мошенничества. Например, известная группа Black Axe, чьих тридцати четырех участников недавно задержали в Испании, как раз и занимается такими атаками через корпоративные электронные почты. Ежегодно это приносит ей миллиарды долларов преступного дохода», – отмечает эксперт.

Обычно африканские хакеры нацелены на быстрое обогащение. Они не проводят длительной подготовки. Они делают массовые рассылки, в тексте писем часто допускают множество ошибок, вероятно, из-за генерации их с помощью автопереводов, продолжают специалисты департамента киберразведки (Threat Intelligence) компании F6. Большая часть атак нацелена на конечных пользователей, а не на организации.

Некоторые африканские группировки назвать и хакерами можно с большой натяжкой, отмечает основатель проекта CakesCats Антон Шустиков. «Чаще всего это хорошо организованные мошеннические синдикаты, где киберсоставляющая это лишь инструмент, а не самоцель», – говорит эксперт. Атаки от африканских групп идут «веерно»: они включают спам-рассылки, попытки развода в мессенджерах или на сайтах знакомств. Они любят рассылать ссылки на скам с просьбой совершить предоплату, совершают BEC-атаки (мошенничество с деловой перепиской – ред.), когда подменяются реквизиты в счетах.

Часто африканские группы не оставляют специфического технического следа, так как используют массовый, часто покупной софт и готовые «фишинговые «киты» (наборы инструментов для создания фишинговых сайтов – ред.), которые можно приобрести в даркнете за скромные деньги – за одну-две сотни долларов», – объясняет Шустиков. Определить, что группа была из Африки, получается только после  анализа инфраструктуры, языка сообщений и данных о регистрации доменов.

​Изначально хакеры из Африки специализировались на «нигерийских письмах», бывших популярными в начале 2000-х годов. Это примитивный и довольно странный метод кибератак: на почту жертвами приходят сообщения от незнакомцев, которые представлялись нигерийскими принцами, вдовами диктаторов или адвокатами умерших миллионеров и просят помочь вывести из страны огромные суммы денег. Взамен обещается щедрое вознаграждение, нужно лишь заплатить небольшую комиссию за оформление документов.

По словам спам-аналитика в «Лаборатории Касперского» Анны Лазаричевой, сегодня такие письма рассылают не только африканские группировки, но и группы из других стран. Но в русскоязычном сегменте этот вид мошенничества потерял популярность, хотя такие письма все же иногда приходят россиянам.

Все дело в том, что такие письма в России показали низкую конверсию, инфоповоды были слишком нереалистичны. Кроме того, они хорошо фильтровались антиспам-системами пользователей или почтовых сервисов, поэтому существенная доля даже не доходила до адресатов, отмечает Владимир Ульянов, руководитель аналитического центра компании Zecurion. Поэтому африканские группировки чаще делают такие рассылки сейчас западной аудитории, у европейцев и жителей США сильнее деловая активность и у них больше личных контактов за рубежом.

Однако в последнее время группы хакеров все же начали технически перевооружаться, они осваивают новые, хотя пока и самые простые, инструменты, признают эксперты. Например, по словам генерального директора компании Start X, резидента бизнес-клуба «Кибердома» Сергея Волдохина, онипользуютсяdeepfake-технологиями — для создания убедительных видеозвонков, где мошенник выглядит как человек на фото. И искусственным интеллектом — для генерации профилей, написания текстов, автоматизации переписки.

Препарируя хакера

Опрошенные SecPost специалисты по кибербезопасности говорят, что африканские хакерские группировки могут быть большими – в них могут входить сотни людей.

Структура группировок обычно сетевая и децентрализованная, рассказывает, проджект-менеджер компании MD Audit (входит в кластер SL Soft FabricaONE.AI, акционер —Softline) Кирилл Левкин. Они базируются в Нигерии, Гане, Кот-д’Ивуаре, ЮАР, но работают глобально. Численностью от нескольких десятков до сотен участников, разделенных на роли: «скамеры», координаторы, специалисты по обналичиванию, техническая поддержка. Периодически к этим группировкам для выполнения отдельных задач привлекаются участники из Европы или Азии — особенно часто они нужны для отмывания средств.

Часть ресурсов у группировок находится в странах Европы, на Ближнем Востоке и в Азии, говорит руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. «Наиболее боеспособная ячейка может состоять из нескольких человек. Но за счет денежных мулов» – людей, осознанно или неосознанно используемых для отмывания денег, подрядчиков и прочих партнеров группа может выглядеть как огромное преступное сообщество», – отмечает эксперт.

Алексей Банников соглашается, напоминая, что большинство «африканских атак» были организованы хакерами-одиночками. Но более крупные хакерские группы в Африке тоже есть.

Все они обычно устроены более неформально, чем похожие группы из других точек планеты. У некоторых африканских хакеров даже есть офисы, работающие в стиле «Волка с Уолл-стрит». «Там создают драйвовую атмосферу, наливают сотрудникам алкоголь, звонят в колокол при удачном «заносе мамонта» (разводе жертвы – ред.) и культивируют образ успешных дельцов», – рассказывает Антон Шустиков.

У африканских групп часто нет жесткой иерархии с четким распределением ролей и зарплатами, продолжает Сергей Волдохин. Вместо этого — горизонтальная сеть специалистов, которые объединяются для конкретных операций: одни создают фейковые профили, другие ведут переписку с жертвами, третьи обеспечивают техническую инфраструктуру. «Модель напоминает франшизу: центральный «бренд» предоставляет методички, инструменты и репутацию, а множество мелких команд работают автономно», – говорит эксперт.

Главным конкурентным преимуществом африканских группировок – является умение долго вести жертву, отмечают опрошенные SecPost специалисты по кибербезопасности.

Опрошенные SecPost эксперты отмечают, что крупные африканские группировки сегодня диверсифицируют свою деятельность и все чаще выходят на новые рынки. Поэтому исключать их более активной работы в России нельзя. Пока же гораздо опаснее их остаются для россиян украинские и восточноевропейские хакеры.