Operation Sentinel: INTERPOL rozpracował cyberprzestępców w 19 krajach Afryki, „złamano” 6 wariantów ransomware i zatrzymano 574 osoby - Security Bez Tabu

Operation Sentinel: INTERPOL rozpracował cyberprzestępców w 19 krajach Afryki, „złamano” 6 wariantów ransomware i zatrzymano 574 osoby

Wprowadzenie do problemu / definicja luki

Cyberprzestępczość w Afryce coraz częściej ma charakter zorganizowany, transgraniczny i nastawiony na szybki zysk, a trzy kategorie ataków powtarzają się szczególnie często:

  • BEC (Business Email Compromise) – przejęcie/imitacja skrzynek i procesów finansowych (np. podmiana numeru konta dostawcy, fałszywe autoryzacje przelewów).
  • Wymuszenia cyfrowe – od „klasycznych” szantaży po sextortion (często z elementem automatyzacji i masowej dystrybucji).
  • Ransomware – szyfrowanie + często kradzież danych i presja na zapłatę.

W grudniu 2025 r. INTERPOL podsumował skoordynowaną akcję Operation Sentinel, która uderzyła jednocześnie w te trzy filary cyberprzestępczego „biznesu”.

W skrócie

Operation Sentinel (27 października – 27 listopada 2025):

  • 574 zatrzymanych w 19 krajach Afryki,
  • odzyskano ok. 3 mln USD,
  • powiązane straty szacowane na ponad 21 mln USD,
  • zdjęto z infrastruktury ponad 6 000 złośliwych linków,
  • „zdeszyfrowano” (umożliwiono odszyfrowanie danych ofiar) 6 odrębnych wariantów ransomware.

Wśród przykładów działań operacyjnych: udaremnienie przelewu BEC na 7,9 mln USD (Senegal) oraz odzyskanie ~30 TB danych po ataku ransomware na instytucję finansową (Ghana).

Kontekst / historia / powiązania

INTERPOL podkreśla, że BEC, ransomware i sextortion to rosnące zagrożenia w Afryce, a wiele państw wskazuje braki w narzędziach i zdolnościach ścigania (szkolenia, infrastruktura dowodowa, współpraca międzynarodowa).

Operation Sentinel odbył się w ramach AFJOC (African Joint Operation against Cybercrime) oraz przy wsparciu projektów i finansowania (m.in. komponenty UE/Rady Europy oraz UK FCDO wskazane w komunikacie).

Warto też zwrócić uwagę na coraz częstszy model „publiczno-prywatny”: INTERPOL wskazał wsparcie partnerów technicznych, m.in. Team Cymru, Shadowserver Foundation, Trend Micro, TRM Labs, Uppsala Security.

Analiza techniczna / szczegóły

„Takedown 6 000 złośliwych linków” – co to zwykle oznacza w praktyce?

W realnych kampaniach BEC/wyłudzeń/ransomware „złośliwy link” to często:

  • strony phishingowe podszywające się pod logowanie (M365/Google/portale bankowe),
  • landing pages do kradzieży danych lub dystrybucji malware,
  • krótkie URL-e i przekierowania maskujące docelową infrastrukturę,
  • elementy łańcucha infekcji (np. fałszywe faktury, „dokumenty” z makrami, linki do dropperów).

Usunięcie tysięcy linków ogranicza zasięg kampanii i zwiększa koszty przestępców (konieczność odbudowy domen, hostingu, kont reklamowych/SM). W komunikacie INTERPOL jest to element szerszego „disruption” infrastruktury.

„Zdeszyfrowanie 6 wariantów ransomware” – co to może oznaczać (bez zgadywania nazw rodzin)?

INTERPOL nie publikuje w tym komunikacie nazw sześciu wariantów. Wiadomo jednak, że w trakcie operacji:

  • służby analizowały malware,
  • w co najmniej jednym przypadku zbudowały narzędzie deszyfrujące (Ghana) i odzyskały znaczącą część danych (ok. 30 TB).

Z perspektywy technicznej, „odszyfrowanie” bywa możliwe m.in. gdy:

  • odzyskano klucze (np. z przejętych serwerów, paneli, maszyn operatorów/afiliantów),
  • wykryto błędy kryptograficzne lub implementacyjne (słaby RNG, błędy w obsłudze kluczy/sesji),
  • pozyskano materiał dowodowy umożliwiający rekonstrukcję kluczy sesyjnych (rzadziej, ale się zdarza przy wadliwej implementacji).

Najważniejszy wniosek praktyczny: takie działania realnie zmniejszają opłacalność ransomware (mniej płatności, więcej odzysków), ale nie eliminują ryzyka ponownych ataków – ekosystem jest odporny na pojedyncze uderzenia.

Praktyczne konsekwencje / ryzyko

Dla firm (również poza Afryką) Operation Sentinel jest sygnałem w trzech obszarach:

  1. BEC nadal jest „cichym zabójcą” budżetów – pojedyncza udana podmiana procesu akceptacji płatności to straty liczone w milionach (przykład: próba 7,9 mln USD).
  2. Ransomware to nie tylko szyfrowanie – dochodzi paraliż usług, kradzież danych i presja czasowa; w Ghanie doszło do szyfrowania 100 TB.
  3. Wymuszenia i sextortion są skalowalne – potrafią działać jak kampanie spamowe, a do tego korzystają z płatności natychmiastowych, krypto i mule networks (stąd nacisk na zamrażanie środków).

Rekomendacje operacyjne / co zrobić teraz

Dla CIO/CISO (priorytety na 30 dni)

  • Harden M365/Google Workspace: MFA odporne na phishing (FIDO2/passkeys), wyłączenie legacy auth, alerty na reguły skrzynkowe i przekierowania.
  • Procesy finansowe anty-BEC: „out-of-band verification” (np. telefon do znanego numeru), blokady zmian rachunków dostawców, progi i podwójna autoryzacja.
  • Backup i odtwarzanie: kopie offline/immutable + testy odtworzeń (RTO/RPO), bo w praktyce to jedyny „dekrpytor”, na którym możesz polegać zawsze.
  • Segmentacja i minimalne uprawnienia: ogranicz ruch lateralny i dostęp do udziałów (szyfrowanie 100 TB zwykle nie dzieje się „przypadkiem”).
  • Playbook pod ransomware: decyzje prawne/PR, kontakt z organami, dowody cyfrowe, izolacja, triage, komunikacja.

Dla SOC/IR (techniczne „must-have”)

  • wykrycia: anomalie logowania, niestandardowe reguły mailowe, masowe pobieranie/eksport, nietypowe tokeny sesyjne,
  • telemetria: EDR + logi z IdP, poczty i bramek WWW,
  • gotowość do współpracy: szybkie „freeze request” do banku/PSP w scenariuszach BEC (czas jest kluczowy – co pokazuje przykład Senegalu).

Różnice / porównania z innymi przypadkami

INTERPOL zestawia Operation Sentinel z wcześniejszymi, afrykańskimi działaniami koordynowanymi przez organizację:

  • Serengeti 2.0 (wzmiankowane jako wcześniejsza operacja) – dużo większa skala zatrzymań i infrastruktury w porównaniu do Sentinel,
  • Operation Red Card – uderzenie w oszustwa i infrastrukturę, również z elementem masowych zatrzymań.

Różnica „taktyczna” Sentinel polega na mocnym akcencie na szybką interwencję (zamrożenia środków, odzysk danych) i na element „decryption” jako narzędzie ograniczania skutków ransomware.

Podsumowanie / kluczowe wnioski

  • Operation Sentinel to rzadki przykład akcji, która łączy arrest + disruption + odzysk środków + odszyfrowanie danych w jednym pakiecie (574 zatrzymanych, 3 mln USD odzyskane, 6 000 linków zdjętych, 6 wariantów ransomware „złamanych”).
  • Technicznie najcenniejszy jest wątek budowy narzędzi deszyfrujących po analizie malware (case Ghana: odzysk ~30 TB).
  • Dla firm wniosek jest prosty: BEC i ransomware dalej są „top 2” ryzyk operacyjnych, a odporność zależy bardziej od procesów (finanse, tożsamość, backup) niż od pojedynczego produktu.

Źródła / bibliografia

  • Komunikat INTERPOL: 574 arrests and USD 3 million recovered in coordinated cybercrime operation across Africa (19.12.2025). (interpol.int)
  • BleepingComputer: Interpol-led action decrypts 6 ransomware strains, arrests hundreds (22.12.2025). (BleepingComputer)
  • INTERPOL: New INTERPOL report warns of sharp rise in cybercrime in Africa (23.06.2025). (interpol.int)