Operacja Ramz: INTERPOL rozbił sieci phishingowe i oszustw online w regionie MENA - Security Bez Tabu

Operacja Ramz: INTERPOL rozbił sieci phishingowe i oszustw online w regionie MENA

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępczość w regionie Bliskiego Wschodu i Afryki Północnej od lat opiera się na rozproszonej infrastrukturze phishingowej, kampaniach malware oraz oszustwach finansowych prowadzonych ponad granicami państw. Operacja Ramz to skoordynowana akcja wymierzona nie tylko w samych sprawców, ale również w serwery, konta, zainfekowane urządzenia i zaplecze techniczne wykorzystywane do wyłudzania danych oraz pieniędzy.

Znaczenie tej operacji wynika z jej skali oraz regionalnego charakteru. Działania objęły wiele jurysdykcji jednocześnie, co pokazuje, że walka z cyberprzestępczością coraz częściej wymaga równoczesnego uderzenia w infrastrukturę, operatorów i kanały monetyzacji przestępstw.

W skrócie

Operacja Ramz była pierwszą na taką skalę skoordynowaną operacją INTERPOL-u przeciw cyberprzestępczości w regionie MENA. Działania prowadzono od października 2025 roku do 28 lutego 2026 roku przy udziale 13 państw.

  • Zatrzymano 201 osób.
  • Zidentyfikowano 382 kolejnych podejrzanych.
  • Wskazano 3867 ofiar.
  • Przejęto 53 serwery.
  • Operacja była wymierzona w phishing, malware i oszustwa internetowe powodujące realne straty finansowe.

Kontekst / historia

Region MENA odgrywa coraz większą rolę w globalnym krajobrazie zagrożeń cybernetycznych. Jest jednocześnie obszarem aktywności grup przestępczych i przestrzenią wykorzystywaną do hostowania infrastruktury pośredniczącej, obsługującej kampanie phishingowe, kradzieże danych uwierzytelniających oraz oszustwa inwestycyjne.

Operacja Ramz wpisuje się w szerszy trend intensyfikacji międzynarodowej współpracy przeciw cyberprzestępczości. Jej wyróżnikiem było jednak silne ukierunkowanie regionalne oraz połączenie działań organów ścigania z danymi wywiadowczymi dostarczanymi przez sektor prywatny. Dzięki temu możliwe było powiązanie infrastruktury, kompromitowanych kont, aktywnych kampanii phishingowych i materiału dowodowego zabezpieczanego podczas działań operacyjnych.

W operacji uczestniczyły Algieria, Bahrajn, Egipt, Irak, Jordania, Liban, Libia, Maroko, Oman, Palestyna, Katar, Tunezja i Zjednoczone Emiraty Arabskie. Taka skala współpracy pokazuje, że zwalczanie cyberprzestępczości w regionie coraz wyraźniej przesuwa się z poziomu lokalnych dochodzeń do modelu skoordynowanych działań wielostronnych.

Analiza techniczna

Z technicznego punktu widzenia Operacja Ramz koncentrowała się na trzech obszarach: identyfikacji złośliwej infrastruktury, neutralizacji aktywnych kampanii oraz analizie urządzeń i nośników wykorzystywanych przez sprawców.

W Algierii służby zlikwidowały platformę phishing-as-a-service po przejęciu serwera oraz zabezpieczeniu komputera, telefonu i nośników danych zawierających oprogramowanie oraz skrypty phishingowe. To szczególnie ważny przypadek, ponieważ model PhaaS obniża próg wejścia dla cyberprzestępców, oferując gotowe szablony, panele administracyjne i mechanizmy zbierania poświadczeń.

W Maroku zabezpieczono komputery, smartfony i dyski zewnętrzne zawierające dane bankowe oraz narzędzia używane do prowadzenia operacji phishingowych. Taki zestaw materiału dowodowego sugeruje istnienie pełnego łańcucha przestępczego: od pozyskania danych ofiar, przez ich analizę, po dalsze wykorzystanie w oszustwach płatniczych lub przejęciach rachunków.

W Omanie zidentyfikowano legalny serwer znajdujący się w prywatnym domu, który zawierał dane wrażliwe, posiadał wiele krytycznych podatności i był jednocześnie zainfekowany malware. To pokazuje, że infrastruktura wykorzystywana przez cyberprzestępców nie zawsze jest budowana od podstaw. Często są to legalne, lecz źle zabezpieczone zasoby przejęte i wykorzystane jako punkty pośredniczące lub repozytoria danych.

W Katarze wykryto skompromitowane urządzenia, których właściciele nie byli świadomi, że ich systemy służą do rozpowszechniania złośliwej aktywności. W praktyce takie urządzenia mogą pełnić rolę przekaźników ruchu, elementów kampanii phishingowych, punktów dystrybucji malware lub infrastruktury maskującej źródło ataku.

W Jordanii zidentyfikowano komputer wykorzystywany do oszustwa finansowego opartego na fałszywej platformie inwestycyjnej. W trakcie działań ujawniono również 15 osób wykonujących czynności oszukańcze, które ostatecznie uznano za ofiary handlu ludźmi zmuszone do udziału w procederze. Ten przypadek pokazuje, że część operacji cyberprzestępczych ma strukturę hybrydową i łączy przestępczość cyfrową z klasyczną przestępczością zorganizowaną.

Dodatkowo partnerzy prywatni przekazali dane dotyczące ponad 5000 skompromitowanych kont, w tym powiązanych z infrastrukturą rządową, oraz informacje o aktywnej infrastrukturze phishingowej w regionie. Z perspektywy obronnej potwierdza to znaczenie korelacji telemetrii, wskaźników kompromitacji, danych o kontach, adresach IP, domenach i artefaktach malware.

Konsekwencje / ryzyko

Najważniejszym skutkiem operacji jest zakłócenie działalności sieci przestępczych, ale nie oznacza to trwałego usunięcia zagrożenia. Infrastruktura phishingowa i malware jest stosunkowo łatwa do odtworzenia, zwłaszcza gdy grupy korzystają z gotowych zestawów narzędzi, modelu usługowego i taniego hostingu.

Z perspektywy organizacji publicznych i prywatnych operacja potwierdza kilka kluczowych ryzyk. Legalna infrastruktura o niskim poziomie zabezpieczeń może zostać szybko przejęta i wykorzystana do działań przestępczych. Konta użytkowników oraz dane bankowe pozostają jednym z głównych celów kampanii. Dodatkowo część ofiar może nie wiedzieć, że ich urządzenia uczestniczą w złośliwej aktywności, co utrudnia wykrywanie incydentów.

Istnieje również ryzyko wtórne. Jeśli przejęta infrastruktura zawierała dane uwierzytelniające, skrypty phishingowe oraz informacje finansowe, to część tych danych mogła wcześniej zostać skopiowana, sprzedana lub udostępniona innym grupom. Oznacza to, że skutki kompromitacji mogą utrzymywać się długo po wyłączeniu pojedynczego serwera.

Wątek jordański pokazuje ponadto, że analiza cyberprzestępczości nie może ograniczać się wyłącznie do warstwy technicznej. W niektórych przypadkach osoby wykonujące działania operacyjne mogą same być ofiarami przymusu, co komplikuje atrybucję i ocenę realnej struktury grupy przestępczej.

Rekomendacje

Organizacje powinny potraktować Operację Ramz jako wyraźny sygnał ostrzegawczy dotyczący trwałości zagrożeń phishingowych i oszustw finansowych, zarówno w regionie MENA, jak i poza nim.

Po stronie technicznej warto wdrożyć następujące działania:

  • stosowanie wieloskładnikowego uwierzytelniania odpornego na phishing,
  • ciągłe monitorowanie logowań pod kątem anomalii, nietypowych lokalizacji i przejęć sesji,
  • regularne skanowanie publicznie dostępnych zasobów pod kątem błędnych konfiguracji i krytycznych podatności,
  • segmentację infrastruktury oraz ograniczanie ekspozycji usług administracyjnych do Internetu,
  • wdrożenie EDR lub XDR na stacjach roboczych i serwerach,
  • blokowanie znanych domen phishingowych, adresów IP i innych wskaźników kompromitacji z zaufanych źródeł.

Po stronie operacyjnej szczególnie istotne są:

  • regularne ćwiczenia reagowania na incydenty phishingowe i oszustwa BEC,
  • procedury szybkiego resetu poświadczeń oraz unieważniania aktywnych sesji,
  • monitorowanie wycieków danych uwierzytelniających i kont uprzywilejowanych,
  • szkolenia użytkowników z rozpoznawania fałszywych platform inwestycyjnych i technik socjotechnicznych,
  • utrzymywanie współpracy z CERT-ami, organami ścigania i dostawcami threat intelligence.

Dla operatorów infrastruktury szczególnie ważne jest regularne audytowanie systemów, które formalnie pełnią legalne funkcje biznesowe. To właśnie takie zasoby bywają przejmowane i wykorzystywane jako element zaplecza cyberprzestępczego bez wiedzy właściciela.

Podsumowanie

Operacja Ramz jest jednym z ważniejszych przykładów regionalnej współpracy przeciw cyberprzestępczości w 2026 roku. Skala działań — 201 zatrzymanych, 382 zidentyfikowanych podejrzanych, 3867 ofiar i 53 przejęte serwery — pokazuje, że phishing, malware i oszustwa finansowe nadal opierają się na rozbudowanym, transgranicznym ekosystemie technicznym i organizacyjnym.

Najważniejszy wniosek dla obrońców jest prosty: tego typu zagrożenia nie znikają po pojedynczej operacji policyjnej. Mogą jednak zostać istotnie ograniczone dzięki szybkiemu współdzieleniu danych, właściwemu zarządzaniu podatnościami, skutecznemu monitoringowi infrastruktury oraz dojrzałym procesom reagowania na incydenty.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/interpol-operation-ramz-disrupts-mena.html
  2. INTERPOL — 201 arrests in first-of-its-kind cybercrime operation in MENA region — https://www.interpol.int/News-and-Events/News/2026/201-arrests-in-first-of-its-kind-cybercrime-operation-in-MENA-region
  3. Kaspersky — Kaspersky supports INTERPOL’s Operation Ramz in MENA region, resulting in over 200 arrests — https://www.kaspersky.com/about/press-releases/kaspersky-supports-interpols-operation-ramz-in-mena-region-resulting-in-over-200-arrests
  4. Group-IB — Group-IB supports INTERPOL’s Operation Ramz, contributing intelligence to first MENA-focused cybercrime takedown — https://www.group-ib.com/media-center/press-releases/operation-ramz/
  5. Help Net Security — 201 arrested in INTERPOL disruption of phishing and fraud networks — https://www.helpnetsecurity.com/2026/05/18/interpol-mena-cybercrime-operation-ramz-201-arrests/