Ponad 1200 zatrzymanych osób, odzyskanych blisko 100 mln dolarów i 88 tys. zidentyfikowanych ofiar – taki jest bilans koordynowanej przez Interpol operacji, przeprowadzonej od czerwca do sierpnia 2025 r. Szeroko zakrojona akcja o kryptonimie Serengeti 2.0 wymierzona była w cyberprzestępców działających w całej Afryce – m.in. grupy ransomware i oszustów internetowych. Działania sił porządkowych z 18 państw afrykańskich wspierane były przez Wielką Brytanię oraz partnerów z sektora prywatnego.
Serengeti 2.0 pod względem logistycznym i operacyjnym była jedną z najbardziej złożonych akcji ostatnich lat. Operację wymierzono w cyberprzestępców o największym wpływie w Afryce zidentyfikowanych przez Interpol – m.in. grupy ransomware, które dokonywały oszustw internetowych i kryptowalutowych oraz ataków na służbową pocztę e-mail (Business Email Compromise, BEC). Służby rozbiły również zorganizowane grupy zajmujące się nielegalnym kopaniem kryptowalut oraz handlem ludźmi. Jednym z efektów operacji było rozbicie grupy przestępców zwabiających ofiary na „inwestycje” w kryptowaluty w Zambii, którzy oszukali ponad 65 tys. osób.
Zaangażowanie wielu jurysdykcji pozwoliło „domknąć” cały łańcuch przestępczy – od namierzania infrastruktury, przez identyfikację sprawców, aż po konfiskatę wyłudzonych od ofiar środków finansowych. Skala działań odzwierciedla skalę problemu: współczesne cyberataki pod względem tempa i zasięgu dorównują działaniom międzynarodowych korporacji.
Dane wywiadowcze nie tylko u służb
W ramach akcji partnerzy techniczni Interpolu, w tym Fortinet, dostarczali danych i analiz, które pomagały w podejmowaniu decyzji operacyjnych. Dysponując rozbudowaną infrastrukturą telemetryczną i analityczną, jeszcze przed operacją przekazywali oni informacje dotyczące m.in. wskaźników naruszenia bezpieczeństwa (IOC) oraz infrastruktury C2 (Command&Control), zapewniającej komunikację pomiędzy serwerami cyberprzestępców. Umożliwiło to zawężenie obszaru poszukiwań oraz szybsze typowanie celów i dezaktywację elementów złośliwej infrastruktury. Zanim ruszyły działania w terenie, partnerzy techniczni przekazali służbom dane wywiadowcze, co umożliwiło precyzyjne zlokalizowanie kluczowej infrastruktury oraz osób stojących za procederem.
Operacja Serengeti 2.0 pokazuje, jak ważna jest wymiana danych wywiadowczych pomiędzy służbami i sektorem prywatnym, a także przygotowanie do akcji – od analizy wzorców ataków, po szybkie przełożenie informacji na działania w terenie.
– Grupy cyberprzestępcze przyjęły strategię globalizacji, specjalizacji i współpracy. Korzystają z globalnej infrastruktury, działając poza zasięgiem pojedynczych rządów czy firm. Dlatego nawet najlepsze zabezpieczenia i kompetencje zespołów IT wymagają uzupełnienia o systemową współpracę. Operacje, takie jak Serengeti 2.0 pokazują, jak wiele można osiągnąć, gdy organy ścigania, eksperci i sektor prywatny działają ramię w ramię. Wymiana informacji, wzajemne zaufanie i współpraca są niezbędne, aby zwiększać bezpieczeństwo instytucji państwowych, firm oraz obywateli – podkreśla Robert Dąbrowski, Systems Engineering Customer Relationship Manager w firmie Fortinet.
Dekada współpracy, która skraca dystans do przestępców
Chociaż w centrum uwagi pozostaje akcja Serengeti 2.0, warto odnotować, że jej skuteczność to efekt wieloletnich inicjatyw oraz współpracy w ramach takich projektów, jak grupa Interpol Cybercrime Expert (#CyberEX) czy Cybercrime Atlas, prowadzony w ramach Światowego Forum Ekonomicznego.
Od ponad 10 lat również Fortinet współpracuje z Interpolem, a od 2018 r. jest oficjalnym partnerem Interpol Gateway, co ułatwia pogłębioną, szybką wymianę informacji. Wcześniejsze działania obejmowały m.in. operację w Azji Południowo-Wschodniej, podczas której zidentyfikowano blisko 9 tys. serwerów C2 oraz setki zainfekowanych stron.
Serengeti 2.0 to model operacji, który warto powtarzać: precyzyjne rozpoznanie, skoordynowane uderzenia w wielu krajach, szybkie blokowanie przepływów finansowych i stałe doskonalenie wymiany informacji. Współpraca sektora prywatnego z publicznym, dzielenie się danymi i szybsze podejmowanie decyzji dają wymierne efekty: aresztowania, odzyskane środki oraz realną ochronę dziesiątek tysięcy osób.