Взять цифровой след. Как раскрывают киберпреступления в России в 2025 году

Курс на раскрываемость

По данным пресс-центра МВД России, за семь месяцев 2025 года в ИТ-сфере раскрываемость преступлений в стране составила 28,9%. Большая часть таких преступлений продолжает совершаться в интернете — в 2025 году их количество возросло на 2,2% превысив 355 тысяч при общем количестве преступлений с использованием ИКТ 424,9 тыс.

«Цифра в 28,9% отражает долю завершенных уголовных дел, в рамках которых установлены и привлечены к ответственности лица, совершившие преступления в сфере информационной безопасности», — рассказала SecPost инженер-аналитик компании «Газинформсервис» Екатерина Едемская.

В то же время, по словам эксперта, под «раскрытием» в правоохранительной практике может подразумеваться как полное раскрытие сложной хакерской атаки, так и установление исполнителя простого мошенничества с использованием цифровых средств. Рост показателя почти до 30% свидетельствует о постепенном укреплении технических и кадровых возможностей российских киберподразделений, а также о повышении уровня взаимодействия между правоохранительными органами и частным сектором, отмечает Екатерина Едемская.

«Важно отметить, что общее число киберпреступлений продолжает расти, в связи с чем можно констатировать и рост абсолютного количества раскрытых инцидентов», — дополняет руководитель департамента киберразведки компании «Бастион» Константин Ларин.

Охотники на хакеров

Сегодня борьбу с киберпреступниками ведут сотрудники подразделений в отделах «К» территориальных и главных управлений МВД России в регионах страны, говорит правовед и ветеран правоохранительных органов Андрей Кашкаров. Материалы проверки и уголовные дела возбуждаются на основании признаков преступлений, относящимся к конкретным статьям УК РФ.

«Сотрудники отделов и управлений «К» считают одними из самых интеллектуально и технически подготовленных в системе МВД. Условно они на втором месте после профессионалов из отделов по расследованию экономических преступлений», — рассказывает эксперт.

Помимо подразделений «К» МВД, комплекс технических и оперативных инструментов для выявления и расследования киберпреступлений в России также задействует Центр информационной безопасности ФСБ, добавляет Екатерина Едемская.

Топ-5 операций против киберпреступников в России в 2025 году

• Хакерство оперативника БСТМ

8 августа суд в Москве арестовал Антона Нестерова — старшего оперуполномоченного 4-го отдела бюро специальных технических мероприятий (БСТМ), одного из самых засекреченных подразделений МВД России. По данным источника издания «Коммерсантъ», Нестерова обвинили в получении взятки и хакерстве, которое привело к тяжким последствиям.

• Группировка хакеров и взлом «Госуслуг»

4 августа в Волгограде арестовали 14 хакеров за взломы аккаунтов на «Госуслугах» — об этом сообщила пресс-служба суда. По данным следствия, злоумышленники с сентября 2024 года по июль 2025 года занимались массовым изменением паролей пользователей на портале «Госуслуги», что позволяло блокировать доступ к сервису, а также осуществлять мошенничества и хищения денег. Арестованные успели совершить около 500 таких атак.

• SIM-боксы украинской спецслужбы

26 мая агентство ТАСС сообщило о задержании в Калининградской области участников преступной группы, организатором которой, по данным следствия, был представитель украинской спецслужбы. Члены группы перенаправляли телефонные звонки через интернет в мобильные сети, используя SIM-боксы для дальнейшего мошенничества и хищения чужого имущества, информации, а также для совершения других преступлений.

• Челябинские хакеры и атака на банк

21 мая пресс-служба ФСБ России по Челябинской области сообщила о поимке двух хакеров. Первый из задержанных с помощью вредоносного ПО получил доступ к личным аккаунтам пользователей частной компании для использования их лицевых счетов. Второй злоумышленник сумел добраться до служебных баз данных кредитно-финансового организации для дальнейшей продажи сведений, составляющих банковскую тайну.

• Три хакера и 300 киберпреступлений

27 марта в Саратовской области сотрудники МВД России задержали троих местных жителей, по данным следствия, причастных к 300 киберпреступлениям. Хакеры создали вредоносное ПО под названием «Мамонт», которое рассылали через Telegram-каналы под видом безопасных мобильных приложений и видеофайлов. После заражения гаджетов злоумышленники перехватывали SMS от банков и похищали деньги с карт потерпевших.

Механизмы вычисления

Основная движущая сила расследования киберпреступлений — это сбор данных, рассказывают в беседе с SecPost специалисты департамента расследований высокотехнологичных преступлений компании F6. Например, в инциденте совокупность всех связанных с ним событий, фактов и обстоятельств составляет 100%. «Из них, как правило, можно установить только 30%, а еще чтобы доказать — 10%. И дело можно считать раскрытым, только если связь между инцидентом и преступником попадает в эти 10%», — объясняют эксперты.

По словам Екатерины Едемской, для раскрытия киберпреступлений силовые структуры применяют специализированные системы сетевого мониторинга, такие как «Сорм-3», позволяющие отслеживать трафик и метаданные в реальном времени. Также широко используются платформы для анализа цифровых следов — извлечение данных с изъятых устройств, восстановление удаленной информации, анализ логов и криптографических артефактов.

Важную роль играют базы данных IP-адресов, IMSI-кодов, а также сотрудничество с провайдерами и крупными ИТ-компаниями для получения информации о пользователях. Кроме того, правоохранительные органы все чаще прибегают к методам киберразведки: внедрение в преступные форумы, использование honeypot-систем и анализ транзакций в блокчейне для отслеживания криптовалютных переводов.

«Однако эффективность этих механизмов ограничена анонимизацией трафика, шифрованием сквозного типа и юрисдикционными барьерами, особенно когда инфраструктура злоумышленников размещена за рубежом», — отмечает Екатерина Едемская.

Спрятавшиеся за границей

Международное сотрудничество в сфере кибербезопасности является широко распространенной практикой. Если киберпреступник находится за рубежом, как правило, используются запросы к зарубежным правоохранительным органам, двусторонние соглашения и использование международных конвенций, говорит в беседе с SecPost ведущий инженер CorpSoft24 Михаил Сергеев.

«Экстрадиция лиц, подозреваемых или обвиняемых в совершении киберпреступлений, осуществляется на основании двусторонних соглашений, регулирующих взаимодействие в данной категории дел, а также путем направления официальных запросов в международные профильные ведомства», — дополняет Константин Ларин из компании «Бастион».

Порядок таких действий регулируется законодательством — в частности, статьей 453 («Направление запроса о правовой помощи») УПК РФ, отмечают специалисты департамента расследований высокотехнологичных преступлений компании F6. При этом сегодня активно ведется работа по развитию международного взаимодействия.

В частности, в минувшем сентябре в Астане прошло мероприятие с руководителями подразделений по борьбе с киберпреступностью стран СНГ, представителями Интерпола и специалистами по расследованию высокотехнологичных преступлений. Однако если киберпреступник находится в недружественной стране, то достать его там практически невозможно, чем и пользуются русскоговорящие представители криминала, говорит Михаил Сергеев. «В некоторых странах даже обустроены целые call-центры [мошенников — прим. SecPost], которые поддерживаются на государственном и окологосударственном уровне», — подчеркивает эксперт.

Порой в дело действительно вмешивается «политический фактор», соглашается Андрей Кашкаров. К примеру, между РФ, Израилем и рядом других стран нет договоренности о выдаче преступников. Это не значит, что злоумышленник не будет экстрадирован — решение остается на усмотрение руководства конкретной страны и зависит от ряда сопутствующих факторов.

Экспертная помощь

Между тем порой помощь правоохранительным органам в их работе оказывают и специалисты ИБ-компаний. Так, по словам специалистов департамента расследований высокотехнологичных преступлений F6, эксперты компании помогли полиции задержать и отправить за решетку многих киберпреступников — вымогателей, кардеров, вирусописателей и скамеров.

«Наши эксперты приложили руку к исследованию или ликвидации таких преступных групп, как Carberp, Anunak, Cobalt, Cron и других. Но в публичное поле попадает совсем немного кейсов — это объясняется, как правило, оперативным интересом и соглашениями о неразглашении», — отмечают специалисты.

При этом некоторые дела длятся месяцами, а другие можно расследовать несколько лет, особенно если речь идет про международные истории. К примеру, как отмечают специалисты F6, самое длительное, но успешное расследование длилось примерно три года. Группа злоумышленников использовала Android-боты для хищения денежных средств. Менялись боты, их владельцы и разработчики, появлялись новые боты.

Кого-то задерживали, сажали, но в целом группе удавалось оставаться на плаву. Злодеи меняли ботнеты, потому что число заражений (инсталлов бота) у тех, что исследовали специалисты по кибербезопасности, неизменно падало. В F6 научились отслеживать ботнеты этой группы через траффера. В итоге при содействии экспертов полиция задержала участников группы и дело дошло до суда.

Кроме того, в компании помогли полиции вычислить и задержать участников мошеннической группы Jewelry Team. Жулики размещали в онлайн-сервисе совместных поездок фейковые объявления от имени водителей. Тем, кто откликнулся, они предлагали продолжить общение не на сайте, а в мессенджере. Там присылали ссылку на фишинговый ресурс и просили предоплату, чтобы забронировать место в машине. В итоге жертва теряла деньги, данные банковской карты и никуда не ехала.

К расследованию этой истории специалисты F6 подключились в августе 2022 года по просьбе полицейских. У задержанного злоумышленника — одного из воркеров группы — изъяли технику, а эксперты помогли ее исследовать. Так были обнаружены Telegram-боты и разные сообщества, был проведен анализ переписки. Как выяснилось, за преступлениями стояла целая команда, которую стали отслеживать в Telegram и фиксировать доменные имена ее участников.

«С помощью нашего решения был построен граф сетевой инфраструктуры злоумышленников. Благодаря графу стало ясно, где находятся их хостинги, а дальше выйти на след мошенников было лишь делом техники», — заключают собеседники SecPost.