Europol uderza w „The Com”: Project Compass przynosi 30 aresztowań i identyfikację 179 sprawców - Security Bez Tabu

Europol uderza w „The Com”: Project Compass przynosi 30 aresztowań i identyfikację 179 sprawców

Wprowadzenie do problemu / definicja „luki” (tu: ekosystemu zagrożeń)

„The Com” (od The Community) to nie pojedyncza grupa, tylko luźny, zdecentralizowany ekosystem społeczności i „crewów”, w którym mieszają się: włamania, wymuszenia finansowe, sextortion oraz wątki radykalizacji i przemocy w świecie realnym. Z perspektywy obrońców jest to trudny przeciwnik, bo nie ma jednego „centrum dowodzenia” – są relacje, reputacja, wzajemne usługi i ciągła rotacja uczestników (często bardzo młodych).

Właśnie ten „model społeczności” sprawia, że działania policyjne muszą iść szerzej niż klasyczne „takedowny” infrastruktury: potrzebne są równoległe identyfikacje osób, praca z platformami, ochrona ofiar i działania prewencyjne.

W skrócie

W ramach skoordynowanej, międzynarodowej inicjatywy Project Compass (start: styczeń 2025) służby miały w pierwszym roku:

  • doprowadzić do 30 aresztowań,
  • w pełni lub częściowo zidentyfikować 179 sprawców,
  • zidentyfikować do 62 ofiar oraz bezpośrednio zabezpieczyć 4 ofiary.

Operacja obejmuje współpracę 28 państw, w tym państw Five Eyes (USA, UK, Kanada, Australia, Nowa Zelandia) oraz m.in. Norwegii i Szwajcarii; koordynacja ma odbywać się po stronie Europolu (w obszarze CT/„online ekstremizmu”).

Kontekst / historia / powiązania

Wątek „The Com” powraca w branży, bo w tym samym „społecznym zapleczu” miały pojawiać się osoby i podgrupy łączone z głośnymi kampaniami w stylu ShinyHunters / Lapsus$ / Scattered Spider – czyli mieszanka włamań, kradzieży danych i wymuszeń.

Dodatkowo, część odłamów ma być kojarzona z przestępczością ukierunkowaną na nieletnich (grooming, sextortion, zmuszanie do wytwarzania materiałów o charakterze seksualnym). W publikacjach wskazuje się m.in. na 764 jako szczególnie toksyczny odłam w tym ekosystemie.

Analiza techniczna / szczegóły „luki” (TTP i mechanika działania)

Z punktu widzenia cyberbezpieczeństwa „The Com” to pipeline: rekrutacja → eskalacja zachowań → monetyzacja (wymuszenia, ransomware, oszustwa) + czasem przemoc offline.

Najczęściej opisywane elementy tego modelu:

A. Rozproszone środowisko komunikacji i rekrutacji
Wskazywane są przestrzenie, gdzie młodzi użytkownicy „czują się swobodnie”: komunikatory, social media, gaming oraz nawet platformy streamingowe. To utrudnia wykrywanie, bo aktywność nie wygląda jak klasyczna „infrastruktura APT”, tylko jak ruch społeczności.

B. Podział na „kompetencje” / podzbiory aktywności
W źródłach pojawiają się opisy segmentacji: część skupiona na włamach i ransomware, część na „IRL” (swatting, groźby, przemoc), część na (s)extortion. FBI-owski podział (Hacker Com / In Real Life Com / Extortion Com) jest przywoływany jako praktyczny skrót myślowy.

C. Utrudnianie atrybucji i śledzenia przepływów pieniędzy
Podkreślane są zachowania typu: maskowanie tożsamości, ukrywanie transakcji, pranie środków. W praktyce dla obrony oznacza to większe ryzyko, że atak „wejściowy” (np. przejęcie konta) szybko przechodzi w etap wymuszeń i płatności, zanim organizacja zdąży zareagować.

Praktyczne konsekwencje / ryzyko

Dla organizacji (firmy, szkoły, podmioty publiczne) ryzyko nie ogranicza się do wycieku danych:

  • Ransomware i wymuszenia wielokanałowe: presja czasowa, groźby publikacji, kontakt z pracownikami/klientami.
  • Sextortion / szantaż wobec młodych osób: realny, krytyczny obszar ochrony – tu „incydent” zaczyna się w DM-ach, a kończy tragedią.
  • Ryzyko „IRL”: swatting i przemoc jako „przedłużenie” konfliktów online.

Warto też zauważyć, że operacje takie jak Project Compass sygnalizują przesunięcie priorytetów: służby traktują ten ekosystem jako zagrożenie na styku cyberprzestępczości i ekstremizmu.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz”, które realnie podnoszą odporność na kampanie powiązane z tym typem ekosystemu:

Dla SOC / IR / IT

  1. Wzmocnij IAM pod przejęcia kont: wymuszaj phishing-resistant MFA (FIDO2/WebAuthn) na krytycznych rolach, ogranicz reset haseł, monitoruj nietypowe rejestracje urządzeń i zmiany metod MFA.
  2. Detekcje pod extortion: alerty na masowe pobrania, nietypowe eksporty danych, anomalia w narzędziach zdalnych, niespodziewane tworzenie archiwów i transfery na zewnętrzne chmury.
  3. Gotowość „ransomware-ready”: testowane kopie offline/immutable, szybka segmentacja, playbook negocjacyjny i komunikacyjny (w tym prawny), procedury na doxxing/swatting.
  4. Threat intel, ale pragmatycznie: śledź sygnały o rekrutacji młodych osób i kampaniach sextortion w Twoim regionie/branży; w razie incydentu eskaluj do odpowiednich zespołów ds. nadużyć na platformach.

Dla szkół / rodziców / opiekunów (aspekt ochrony nieletnich)

  1. Uprość kanały zgłaszania (anonimowość, szybka reakcja) i trenuj scenariusze „szantaż w sieci”.
  2. Zasada: nie płacić za „usunięcie materiałów” bez konsultacji ze służbami/specjalistami – to często tylko napędza dalsze wymuszenia.
  3. Higiena prywatności: ograniczenie publicznych danych, ustawienia kont, kontrola DM, ochrona przed podszyciami.

Dla zarządów

  • Traktuj to jako ryzyko operacyjne i reputacyjne (w tym bezpieczeństwo pracowników), nie tylko „IT problem”. Project Compass pokazuje, że presja organów ścigania i regulatorów na dojrzałość procesów będzie rosnąć.

Różnice / porównania z innymi przypadkami

W porównaniu do klasycznych grup ransomware (bardziej „firmopodobnych”, z hierarchią i infrastrukturą) „The Com” przypomina platformę społecznościową przestępczości: łatwiejsze wejście, szybka wymiana usług, mniejsza stabilność, ale duża skala. To tłumaczy, czemu Project Compass stawia na wieloletnią, międzynarodową koordynację i wymianę informacji, zamiast jednorazowego „odcięcia serwerów”.

Podsumowanie / kluczowe wnioski

  • 30 aresztowań i 179 zidentyfikowanych sprawców w ramach pierwszego roku Project Compass to mocny sygnał, że „The Com” jest traktowane jako priorytet transgraniczny.
  • Największe wyzwanie to decentralizacja i „społecznościowy” charakter zagrożenia – obrona musi łączyć cyber, ochronę osób i prewencję.
  • Dla organizacji najlepszy zwrot z inwestycji dają: phishing-resistant MFA, detekcje eksfiltracji, gotowość na wymuszenia oraz procedury pod incydenty obejmujące ludzi (doxxing/swatting/sextortion).

Źródła / bibliografia

  1. BleepingComputer – opis akcji i kontekstu „The Com” (27 lutego 2026). (BleepingComputer)
  2. CyberScoop – tło Project Compass, model współpracy i cytaty (26 lutego 2026). (CyberScoop)
  3. Help Net Security – podsumowanie wyników i mechaniki działania (27 lutego 2026). (Help Net Security)
  4. GovInfoSecurity – perspektywa „violent online extremism”, ofiary i ekosystem platform (27 lutego 2026). (govinfosecurity.com)
  5. heise online – streszczenie statystyk i kontekstu „underground network” (27 lutego 2026). (heise online)