Espanjassa pidätettiin venäläismielisten hakkeriryhmien tukija – suomalaista koskee eniten se, miten ryhmä värvää vapaaehtoisia

Pidätys Palenciassa on uutiskärki, mutta tavallista lukijaa koskettaa se, miten NoName057(16) ostaa pienellä kryptorahalla pääsyn ihmisten kotiverkkoihin. Jos joku Telegramissa tarjoaa rahaa ohjelman ajamisesta, kyseessä on värväys rikokseen.
Tiivistelma
Espanjan poliisi pidätti maaliskuussa 2026 miehen, jota epäillään venäläismielisten hakkeriryhmien tukemisesta. NoName057(16) värvää tavallisia vapaaehtoisia palvelunestohyökkäyksiin Telegramissa kryptopalkkioilla ja pelillistetyllä tulostaululla. Suomi on ollut ryhmän kohteena eduskunnasta puolustusministeriöön.
Joku tarjoaa Telegramissa kryptovaluuttaa siitä, että asennat pienen ohjelman ja annat sen suunnata kotisi nettiyhteyden ennalta valittuun sivustoon. Talkoohenki kuuluu myyntipuheeseen. Todellisuudessa kyse on rikoksesta.
Näin venäläismielinen hakkeriryhmä NoName057(16) värvää tavallisia ihmisiä hyökkäyksiinsä. Ryhmän DDoSia-projekti antaa vapaaehtoiselle avaimen, ohjaa asentamaan ohjelman ja liittää tämän oman nettiyhteyden palvelunestohyökkäykseen. Värväys tapahtuu Telegramissa, muun muassa @DDosiabot-botin kautta.
Uusia tekijöitä houkutellaan peli- ja hakkerifoorumeilta, ja vapaaehtoiset kutsuvat mukaan tuttujaan. Näin syntyy pieniä värväysrenkaita.
Europol arvioi koko verkoston tukijoiden määräksi noin 4 000. Ryhmä on lisäksi nojannut satojen palvelinten hyökkäysinfrastruktuuriin.
Miksi kukaan suostuisi? Houkuttimena on peli.
Vapaaehtoiset maksetaan kryptovaluutassa ja nostetaan tulostaululle, joka palkitsee ahkerimmat hyökkääjät. Parhaille tekijöille on jaettu myös ruplapalkintoja.
Tarjous ei useinkaan näytä rikolliselta. Se muotoillaan isänmaalliseksi talkoiluksi tai kevyeksi lisätienestiksi, ja tekninen osuus on tehty tahallaan helpoksi. Kynnys osallistua pyritään pitämään matalana.
Europol pitää kilpailua ja statusta tarkoituksellisena koukkuna, joka puree erityisesti nuoriin.
– Pelillistetty manipulointi kohdistui usein nuoriin tekijöihin, ja sitä vahvistettiin tunnetasolla kertomuksella Venäjän puolustamisesta tai poliittisten tapahtumien kostamisesta, Europol kuvaa tiedotteessaan.
Mikä DDoSia on
DDoSia on ohjelma, jonka vapaaehtoinen asentaa omalle koneelleen. Se suuntaa käyttäjän nettiyhteyden yhteiseen kohteeseen ja kuormittaa sitä. Lokeihin jää käyttäjän oma IP-osoite, ei ryhmän.
Palvelunestohyökkäys ei varasta tietoja. Se kaataa sivuston hetkeksi, ja teho on ennen kaikkea propagandistinen.
Osallistuminen on silti Suomen laissa rikos, tietojärjestelmän häirintä, rikoslain 38 luvun 7 a §. Yksikin osallistumiskerta riittää, sillä oma IP-osoite tallentuu kohteen lokeihin ja voi johtaa esitutkintaan.
Espanjan pidätys avasi verkostoa
Uutiskärki tuli maaliskuussa 2026. Espanjan poliisi teki kotietsinnän Palenciassa Pohjois-Espanjassa ja pidätti miehen, jota epäillään läheisistä yhteyksistä venäläismielisiin ryhmiin CARR (CyberArmy of Russia Reborn) ja Z-Pentest. Tutkinta oli alkanut elokuussa 2025 FBI:n vihjeen perusteella.
Miestä epäillään myös NoName057(16):lle luettujen operaatioiden tukemisesta. Hänen epäillään auttaneen ukrainalaista CARR-hakkeria pakenemaan Venäjälle Puolan ja Valko-Venäjän kautta.
Poliisi takavarikoi tietokoneita ja kryptolompakoiden tallennuslaitteita sekä jäädytti lompakon, jonka epäillään sisältävän varastetun datan myyntituottoja.
Syytteitä ei ole vielä nostettu. Epäilyt koskevat terroristijärjestön jäsenyyttä tai avunantoa, terrorismin ihannointia ja tietojärjestelmän vahingoittamista. Tutkinta on kesken, ja miestä on käsiteltävä epäiltynä, kunnes toisin osoitetaan.
Suomi on ollut listalla
Miksi suomalaisen pitäisi välittää ulkomaisesta pidätyksestä? Koska NoName057(16) on iskenyt Suomeen toistuvasti.
Ryhmä aloitti iskuilla Ukrainaan, mutta on sittemmin siirtänyt painopisteensä Ukrainaa tukeviin maihin, joista moni on Nato-jäsen. Suomessa kohteeksi joutui eduskunnan sivusto huhtikuussa 2023 Nato-jäsenyysprosessin aikana.
Syyskuussa 2025 Kyberturvallisuuskeskus vahvisti ryhmän olleen puolustusministeriön ja traficom.fi:n sivustoihin kohdistuneiden hyökkäysten takana 7. ja 18. syyskuuta. Motiiviksi arvioitiin Venäjän asettama suomalaisautojen tuontikielto. Keskus on seurannut ryhmän Suomeen kohdistamia aaltoja pitkin vuotta.
Suomi osallistui myös Europolin Operation Eastwoodiin 14.–17.7.2025. Operaatiossa kaadettiin yli sata hyökkäysjärjestelmää, ja viranomaiset varoittivat yli 1 000 vapaaehtoista ja 15 ylläpitäjää rikosvastuusta.
Saksa antoi kuusi pidätysmääräystä Venäjällä asuvista päätekijöistä, ja Espanjassa tehtiin 12 kotietsintää, enemmän kuin missään muussa osallistujamaassa.
Maaliskuun 2026 Palencian pidätys on tästä operaatiosta erillinen espanjalainen juttu, eikä siihen ole kytketty yhtään suomalaiskohdetta.
Mitä tehdä
- Jos joku tarjoaa rahaa ohjelman asentamisesta tai nettiyhteytesi lainaamisesta, kyseessä ei ole aktivismi vaan rikos. Kieltäydy.
- Telegramin isänmaallisiksi naamioidut hyökkäysryhmät keräävät osallistujien IP-osoitteet, ja ne näkyvät kohteen lokeissa.
- Ilmoita houkuttelusta poliisille osoitteessa poliisi.fi.
- Ilmoita hyökkäyshavainnoista Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Tavallisen ihmisen kannalta olennaista ei ole se, ketä ulkomailla pidätetään. Olennaista on tunnistaa hetki, jossa melko pientä rahaa tarjoava viesti tekee vastaanottajasta rikoskumppanin.
Toistaiseksi paras suoja on ihan yksinkertainen. Pyytämättä tullut tarjous osallistua hyökkäykseen ei ole kunnianosoitus vaan värväysyritys.
Lahteet
- The Record (08.07.2026)
- BleepingComputer (08.07.2026)
- Europol (16.07.2025)
- Kyberturvallisuuskeskus (01.10.2025)