
Глава III. Изучение и сравнение известных русскоязычных киберпреступных форумов
Сегодня я хотел бы вместе с вами узнать, кого я считаю наиболее выдающимися RLCF, и проанализировать их место в более широкой русскоязычной киберпреступной экосистеме.
Если вы пропустили предыдущие главы, не стесняйтесь прочитать их, потому что многие методологические понятия, такие категории RLCF или уровни их активности, объяснены там и необходимы для понимания данной главы.
Если вы хотите ознакомиться с полным списком из 94 изучаемых RLCF, вы можете найти его здесь.
Выводы третьей главы:
• В настоящее время авторитетные RLCF являются основными платформами для злоумышленников, занимающихся коммерческой деятельностью или стремящихся приобрести товары и услуги у других злоумышленников, которым они не доверяют. Несмотря на то, что Telegram играет значительную роль для киберпреступников, он сталкивается с присущими ему ограничениями, такими как отсутствие надежной системы условного депонирования и арбитража.
• Несмотря на различную природу изучаемых RLCF, таких как форумы по кардингу или продаже наркотиков, между этими сообществами есть заметные сходства и связи. К общим элементам можно отнести наличие абузоустойчивых хостеров и анонимных сервисов обмена криптовалют, которые связывают всю экосистему.
• В то время как некоторые RLCF могут похвастаться огромными сообществами, число высококвалифицированных и опытных злоумышленников относительно невелико и, вероятно, исчисляется несколькими тысячами. С другой стороны, RLCF, сосредоточенная на схемах мошенничества низкого уровня, базовом кардинге или продаже наркотиков, как правило, привлекает более широкие сообщества.
• Русскоязычная киберпреступная экосистема хорошо структурирована, в ней различные крупные сообщества собирают различные типы злоумышленников:
- «XSS» и «Exploit» являются ядром киберпреступного подполья высокого уровня, специализирующегося на хакерстве и вредоносном ПО. Тем не менее, репутация «Эксплойта» пострадала от неоднократных слухов о его контроле со стороны правоохранительных органов. Большинство злоумышленников, присутствующих на этих форумах, обычно нацелены на нерусскоязычные страны.
- "LolzTeam" - это учебное заведение для начинающих киберпреступников и, что более важно, пул рабочей силы для распространения инфостилеров. Однако агрессивная политика монетизации, проводимая модераторами этого форума с весны 2023 года, оказала негативное влияние на репутацию этого RLCF и снизила присутствие инфостилера Malware as a Service (MaaS).
- «WWH-Club» — крупный рынок, специализирующийся на кардинговых услугах и известный как образовательный центр для этого незаконного ремесла. Как и в случае с «LolzTeam», хотя и по разным причинам, политика монетизации сотрудников «WWH-Club» привела к недовольству злоумышленников. Они жалуются на других форумах, потому что доступ к арбитражу ограничен пользователями с платным тарифным планом. Пользователи этого форума нацелены как на русскоязычные страны, так и на остальной мир.
- Ориентированные на мошенничество RLCF, такие как «DarkMoney» или «Probiv», имеют сходство с другими RLCF, поскольку они привлекают злоумышленников, специализирующихся на услугах по мошенничеству с поддельными документами и финансами. Однако количество и качество этих услуг более обширны. Кроме того, злоумышленники на этих форумах часто нацелены на свои собственные страны (бывший Советский Союз).
- Ориентированные на наркотики RLCF, такие как «RuTor», в основном работают в бывших советских республиках и продвигают относительно низкоуровневый контент с технической точки зрения. Интересно, что сотрудники «RuTor» поощряли свое сообщество участвовать в картинг-атаках, чтобы помочь им зарабатывать деньги, и даже открыли в 2022 году специальный раздел с учебными пособиями о кардинге и других схемах мошенничества.
Telegram – новый рубеж для русскоязычных злоумышленников?
Прежде чем углубиться в изучение крупных РЛЧФ с высокой активностью, расскажу о показательном инциденте с участием двух известных РЛСК и Telegram-канала, принадлежащего MaaS. Этот инцидент подчеркивает непреходящее значение известных RLCF как публичных площадок для общения и сотрудничества киберпреступников. Несмотря на то, что Telegram в последнее время стал жизненно важным инструментом в киберпреступном ландшафте из-за его снисходительности к незаконной деятельности[1], в обозримом будущем он не сможет заменить RLCF.Давайте вернемся в февраль 2023 года, чтобы вспомнить злоключение, которое произошло с одним из самых известных MaaS, а именно с Енотовым Похитителем[2]. С момента своего запуска группа киберпреступников, разрабатывающая это вредоносное ПО, полагается на Telegram для таких целей, как проведение транзакций и обеспечение поддержки клиентов. Как и другие клиенты этого MaaS, человек, работающий под псевдонимом «hash_attack», решил связаться с командой Енота-похитителя через Telegram. Это взаимодействие было направлено на получение рекламного места для брутфорс-сервиса «hash_attack» в эксклюзивном Telegram-канале, принадлежащем Енот-похитителю.
Однако эта деловая сделка приняла неудачный оборот, что привело к разладу между «hash_attack» и командой Енотов. Разочарованный сложившейся ситуацией, «hash_attack» решил занять конфронтационную позицию, предав спор огласке на одном из RLCF, где он присутствовал. Несмотря на то, что у «hash_attack» были аккаунты на большинстве RLCF, таких как «XSS», «WWH-Club» или «BHF», где также присутствовали представители Raccoon Stealer, злоумышленник решил открыть арбитражную ветку на «Exploit», что подчеркивает доверие этого киберпреступника к этому сообществу, чтобы помочь ему решить его проблему.

Рисунок 1. Злоумышленник «hash_attack» открыл арбитражную ветку против Raccoon Stealer on Exploit.
«hash_attack» выдвинул обвинения против команды Raccoon, утверждая, что они не смогли вернуть ему 3000 долларов из-за разногласий по поводу рекламного соглашения. Несмотря на то, что денежная стоимость, о которой идет речь в этом споре, может показаться относительно незначительной по сравнению с доходами, полученными от этого успешного MaaS, модераторы форума «Exploit» расценили отказ в возврате средств как потенциальную попытку мошенничества. Следовательно, они пошли на шаг и заблокировали аккаунт «енотвора» на своем форуме.
В быстрой последовательности событий администрация форума "XSS", которая поддерживает отношения сотрудничества с "Exploit" и даже имеет как минимум двух общих модераторов с этим RLCF, решила последовать их примеру, заблокировав аккаунт "raccoonstealer" на своей платформе. Эта цепная реакция подчеркивает взаимосвязанность некоторых киберпреступных форумов. После этого сурового наказания сотрудники Еноты Похитителя решили вернуть 3000 долларов «hash_attack», но не смогли восстановить свои счета на этих двух известных RLCF.
15 февраля 2023 года известный злоумышленник «Stallman», который в настоящее время является администратором форума «RAMP», ориентированного на программы-вымогатели, инициировал обсуждение на форуме «Exploit» в поддержку команды Raccoon Stealer. До этого инцидента «Столлман» неоднократно публично поддерживал Raccoon Stealer, утверждая, что это его любимое вредоносное ПО для кражи информации. В личных попытках помочь Енотовому Похитителю восстановить доступ к "Exploit" и "XSS", "Stallman" выступил от их имени. Тем не менее, даже это вмешательство оказалось неэффективным в достижении желаемого результата.

Рисунок 2. Злоумышленник Столлман открыл ветку на Exploit, чтобы попросить его администрацию снять блокировку аккаунта еноткида.
Репутация Енота-похитителя явно пострадала, так как последовали новые обвинения как в «XSS», так и в «Exploit». Несколько пользователей утверждали, что Raccoon Stealer крадет информацию о криптокошельке из логов собственных клиентов и отправляет ее напрямую разработчикам этого вредоносного ПО, лишая тем самым киберпреступников, купивших этот MaaS, источника дохода. Не присутствуя на этих форумах, команда Raccoon не смогла защитить себя от этих обвинений.

Рисунок 3. Raccoon Stealer продолжал работать и продавать свое вредоносное ПО в Telegram даже после запрета XSS и Exploit в феврале 2023 года.
В конце концов, после шестимесячного отсутствия в "XSS" и "Exploit", Raccoon Stealer разрешили вернуться в эти RLCF после внесения депозита в размере 1 BTC (около 25 000 долларов в августе 2023 года) на каждом форуме[3]. Стоит отметить, что хотя некоторые газеты публиковали несколько вводящие в заблуждение заголовки, объявляющие о «возвращении» Raccoon Stealer после окончания запрета, этот MaaS никогда не прекращал свою деятельность. Его развитие продолжалось, и всегда можно было приобрести подписку через официальный Telegram-канал. Таким образом, решение команды Raccoon принять условия этих RLCF предполагает, что присутствие на этих платформах имеет существенное значение для MaaS и других продвинутых злоумышленников.


Рисунки 4 и 5. "raccoonstealer" разрешили вернуться в "XSS" и "Exploit" в августе 2023 года после того, как группа внесла депозит в размере 1 BTC на каждом из этих форумов. Авто переведено с русского.
Эти события подчеркивают несколько заслуживающих внимания аспектов, которые объясняют, почему, несмотря на появление Telegram и его популярность среди злоумышленников, RLCF продолжает оставаться незаменимым для ведения незаконной деятельности.
• Основные RLCF являются источником легитимности и лидогенерации:
решение, принятое компанией Raccoon Stealer инвестировать почти 50 000 долларов США, чтобы восстановить доступ к «XSS» и «Exploit», дает убедительное представление о важности этих платформ для киберпреступников. Присутствие на видном рынке RLCF не только обеспечивает легитимность, но и служит основным источником для лидогенерации. Злоумышленники, стремящиеся предлагать услуги, распространять вредоносное ПО или обеспечивать себе трудоустройство, признают ключевую роль этих форумов.
• Основные RLCF обеспечивают безопасность транзакций: Еще одним важным аспектом, который следует учитывать,
является то, что Telegram в настоящее время не имеет надежной системы условного депонирования (подробнее о системе условного депонирования см. Главу II). Следовательно, злоумышленники и поставщики MaaS, стремящиеся к безопасным транзакциям, часто предпочитают вести свой бизнес через авторитетные форумы, предлагающие услуги условного депонирования.
• Долговечность крупных RLCF позволяет им приобретать и поддерживать репутацию:
репутация и (предполагаемая) целостность основных RLCF, культивируемые в течение долгого времени и благодаря проверенному послужному списку, выступают в качестве ключевого дифференциатора среди других групп и каналов RLCF, а также Telegram.
Несмотря на то, что известные RLCF играют важную роль в экосистеме русскоязычных киберпреступников, мы обнаружим, что не все основные RLCF одинаковы. Они занимают разные ниши, собирают разные типы злоумышленников и различаются по репутации и надежности в экосистеме. Понимание этих различий имеет решающее значение для понимания динамики киберпреступного ландшафта.
Русскоязычная киберпреступная экосистема представляет собой хорошо структурированную структуру, характеризующуюся разнообразной аудиторией и сервисами, преобладающими на каждом форуме. В нашем анализе будет подробно рассмотрена уникальная роль, которую играют эти форумы, что даст ценную информацию об их значении в этом сложном ландшафте.
Ключевые русскоязычные киберпреступные форумы и их роль в экосистеме
Вы можете законно спросить, как именно можно оценить роль RLCF и сравнить ее с другой, или как определить, какие форумы являются наиболее заметными в своей области специализации?Чтобы ответить на этот вопрос, я предлагаю использовать объективные показатели, такие как уровень активности, тип и количество «товаров и услуг», которые можно найти на этих форумах, наряду с более качественными оценками, такими как репутация сообщества или техническая экспертиза пользовательской базы. Для проведения этого анализа я предварительно отобрал 8 высокоактивных и качественных форумов из 5 категорий (см. методологию в первой главе – категории: Киберпреступность, Мошенничество, картинг, Прочее/Киберпреступность и Наркотики. Форумы по программированию киберпреступников исключены, поскольку ни один из них в настоящее время не является высокоактивным.
Также можно было расширить часть изученного RLCF на сообщества с небольшой пользовательской базой и более низкой активностью, при условии, что в них размещаются высококвалифицированные злоумышленники, как на примере форума RAMP, ориентированного на программы-вымогатели. Однако в конечном итоге я отказался от этого подхода из-за нишевого характера этих сообществ. Например, «RAMP» с годовой активной базой пользователей около 300 участников, которые разместили чуть более 3 000 сообщений в 2023 году, служит иллюстрацией ограниченного масштаба и вовлеченности в такие форумы.

Таблица 1. Для получения дополнительной информации см. Главу I. Источник: CybercrimeDiaries.com
Количественный анализ – насколько велика пользовательская база основных RLCF?
Чтобы оценить «активную пользовательскую базу» крупных RLCF, моей первой идеей было подсчитать участников, которые опубликовали хотя бы одно сообщение в 2023 году. Такой подход, конечно, сомнителен, так как некоторые пользователи форума могут быть активны только в личных сообщениях и поэтому будут исключены из моей оценки. Кроме того, один человек может иметь несколько аккаунтов и писать сообщения от каждого из них.Альтернативной идеей было полагаться на статистику официальных форумов, а именно на подсчет зарегистрированных аккаунтов в течение 2023 года. После изучения этого метода оценки выяснилось, что в некоторых случаях он может быть еще более ненадежным. Например, в первой половине 2023 года RLCF «Exploit» провел генеральную уборку, удалив около 30 000 учетных записей, которые на тот момент составляли более трети от общего числа зарегистрированных участников.
Я решил разрубить гордиев узел, выборочно используя оба метода, оставаясь при этом последовательным и пытаясь обеспечить надежную оценку активности каждого изучаемого RLCF.
Сообщества из категорий «Киберпреступность», «картинг» и «Мошенничество», такие как «XSS», «WWH-Club» или «DarkMoney», представленные в Таблице 2, сравнительно намного меньше, чем RLCF из категорий «Прочее/Киберпреступность» и «Наркотики», такие как «LolzTeam» и «RuTor», представленные в Таблице 3. Таким образом, в таблице 2 размер сообщества оценивался путем подсчета активных пользователей, опубликовавших хотя бы одно сообщение в 2023 году. Напротив, подсчет активных пользователей на форумах с аудиторией более нескольких сотен тысяч активных пользователей, которые присутствуют в таблице 3, был технически сложным, и я решил скорее подсчитать количество новых аккаунтов, зарегистрированных в 2023 году. Величина расхождения в размерах пользовательской базы между основными RLCF из таблиц 2 и 3 настолько значительна, что эта разница в наборах данных фактически практически не имеет значения.
Результаты, которые я обнаружил, очень похожи на данные, представленные Searchlight Cyber весной 2023 года[4]. Однако важно иметь в виду, что методология, используемая этой компанией для их анализа, остается нераскрытой. Поэтому я призываю читателей рассматривать эти цифры как ориентировочные, а не точные измерения.

Таблица 2. *Методология: пользователь считается активным в 2023 году, если он опубликовал хотя бы одно сообщение. Источник: CybercrimeDiaries.com

Таблица 3. Источник: CybercrimeDiaries.com
Наблюдения из таблиц 2 и 3 дают некоторое представление о размерах каждой общины, тем не менее, такой подход ничего не говорит нам о том, кто «населяет» эти РЛСК. Это подчеркивает необходимость принятия более всеобъемлющей стратегии оценки, которая включает в себя как количественные, так и в некоторой степени качественные факторы, чтобы получить более глубокое понимание роли RLCF в киберпреступном ландшафте.
Фокус на коммерческих потоках по основным RLCF – комбинация качественного и количественного анализа
Подход, который предлагает более детальную и в некоторой степени качественную перспективу, включает в себя анализ новых коммерческих потоков, опубликованных в 2023 году. Подсчет нитей, в которых злоумышленники участвуют в продаже или покупке чего-либо, является эффективным способом получить представление о специализации каждого сообщества, облегчая сравнение между ними.Однако важно отметить, что этот подход не учитывает старые, но активные коммерческие темы, созданные до 2023 года. Оценка этих потоков потребовала бы индивидуальной проверки того, участвуют ли создатели потоков в торговле предлагаемыми товарами или услугами, что выходит за рамки данного анализа. Кроме того, этот подход не дает представления о качестве и сложности продаваемых товаров или услуг.
После сбора коммерческих нитей они были организованы в восемь отдельных торговых категорий для анализа. Эти категории, хотя и информативны, следует рассматривать как индикаторы, а не как идеальное представление всего спектра деятельности в рамках форумов. Обратите внимание, что контент, связанный с наркотиками, оружием или насилием, был намеренно исключен из этого исследования, несмотря на то, что эти ремесла представляют собой основную деятельность RLCF, как и «RuTor».
• Взлом: треды, связанные с продажей вредоносного ПО, распространением похитителей информации, баз данных, доступов к корпоративным сетям, пентестами, DDoS-атаками, взломом хэшей, продажами stollen аккаунтов;
• Банковское мошенничество: коммерческие потоки, связанные с банковским мошенничеством с украденными кредитными картами и доходами от этого вредоносного механизма;
• Услуги по борьбе с мошенничеством: коммерческие потоки, связанные с продажей поддельных документов, услугами по поиску, торговлей SIM-картами, телефонными звонками, спам-сервисами;
• Финансовые услуги: темы, в которых злоумышленники продают услуги по отмыванию денег и криптовалюте, услуги по вводу и выводу наличных, поддельные удостоверения личности для налогового мошенничества;
• Услуги хостинга: потоки, в которых злоумышленники продают виртуальные частные серверы, прокси-серверы и другие услуги, связанные с хостингом, включая пуленепробиваемые серверы и домены;
• Другие услуги: коммерческие ветки с контентом, связанным с маркетингом в социальных сетях (SMM – продажа фейковой аудитории, лайков и комментариев на таких платформах, как YouTube), веб-разработкой и т.д.
Кроме того, были созданы две другие категории для учета неклассифицированного коммерческого контента, включая материалы, которые участники форума не знали, где публиковать, а также объявления о вакансиях и поиск работы. Эти категории помогают охватить контент, который не вписывается в предопределенные торговые категории.

Таблица 4. *Для RLCF RuTor контент, связанный с наркотиками, насилием и торговлей людьми, не учитывался. Источник: CybercrimeDiaries.com

Таблица 5. *Для RLCF RuTor контент, связанный с наркотиками, насилием и торговлей людьми, не учитывался. Источник: CybercrimeDiaries.com
На основе статистических данных, представленных в таблицах 2, 3, 4 и 5, можно сделать несколько наблюдений. Даже самые активные RLCF, с сообществами, ориентированными на Hacking, собирают всего несколько тысяч активных пользователей. И наоборот, RLCF, популярный среди потребителей наркотиков и молодых людей, как правило, собирает большую аудиторию, в первую очередь ориентированную на низкоуровневый контент и схемы мошенничества. Несмотря на то, что не все члены групп продвинутых угроз непосредственно присутствуют в RLCF, интересно учесть, что значительный ущерб, нанесенный русскоязычными группами вымогателей, разработчиками и распространителями вредоносного ПО или кардерами, может быть вызван преимущественно относительно небольшим числом лиц.
Кроме того, анализ таблиц 4 и 5 позволяет сделать несколько выводов. Примечательно, что с 2022 года на форуме по наркотикам «РуТор» произошла эволюция, так как он расширился за счет введения разделов кардинга и мошенничества. Однако в целом становится ясно, что коммерческих тредов (без учета продажи наркотиков) не так много, даже на форумах с массовыми сообществами, таких как «LolzTeam» или «RuTor» (см. таблицы 2 и 3). Это наблюдение подкрепляет аргумент, приведенный в главе I, о том, что RLCF, отнесенные к категориям «Прочее/киберпреступность» и «Наркотики», лишь в незначительной степени вовлечены в ту же незаконную деятельность, что и форумы, отнесенные к категориям «картинг», «Киберпреступность» или «Мошенничество», и не являются необходимыми для привлечения того же типа злоумышленников.
Более тщательное изучение потоков в категории вакансий подтверждает эту оценку. Возможности трудоустройства, предлагаемые на RLCF, такие как «RuTor» и в меньшей степени «Probiv» или «DarkMoney», в основном представляют собой низкоуровневые технические роли, ориентированные на такие задачи, как распространение вредоносного ПО и мошеннические схемы. Напротив, объявления о вакансиях в категориях «Эксплойт» или «XSS» включают в себя более технически сложные роли, в которых злоумышленники способны создавать сложное вредоносное ПО или выполнять сложные задачи по проникновению в сеть.
Тем не менее, между всеми изученными РЛКМ также есть сходства и связи. Обзор таблиц 5 и 6 подчеркивает постоянное присутствие финансовых и хостинговых услуг во всех RLCF. На самом деле, детальное изучение услуг хостинга и отмывания криптовалют показывает, что одни и те же субъекты, занимающиеся предоставлением этих услуг, активно участвуют во всех основных RLCF.

Таблица 6. * Злоумышленники, которые открыто заявляют о продаже абузоустойчивых хостинговых услуг и были активны хотя бы один раз в период с декабря 2022 года по март 2023 года. Источник: CybercrimeDiaries.com
На текущий год запланирован глубокий анализ хостингов и сервисов по отмыванию криптовалют. Что уже можно упомянуть, так это, например, наличие сервиса обмена криптовалют «AudiA6» минимум на 44 RLCF. Этот аккаунт предлагает анонимный сервис обмена денег и криптовалют и активен уже более десяти лет (см. Рисунок 6). В сфере пуленепробиваемых хостинговых услуг стоит отметить случай с сервисом, продвигаемым под псевдонимом «Quahost», который задокументирован как минимум в 31 RLCF и продолжает свою деятельность более пятнадцати лет (см. Рисунок 7).

Рисунок 6. AudiA6 упоминает на XSS все RLCF, куда он внес деньги в качестве гарантии.

Рисунок 7. Реклама абузоустойчивых серверов Quahost на LolzTeam с 2018 года
Подводя итог, можно уже сейчас констатировать, что каждое из этих сообществ играет определенную роль и занимает свое место в более широкой киберпреступной экосистеме. Несмотря на то, что RLCF качественно и количественно отличаются, каждый из них, тем не менее, по-своему важен для всей экосистемы. Например, «LolzTeam», который в основном специализируется на низкоуровневом киберпреступном контенте, служит отправной точкой для многих молодых русскоязычных людей, которые начинают свою киберпреступную деятельность на этом форуме, в частности, присоединяясь к командам traffers[5].
Качественный анализ основных РЛСК
«XSS» и «Эксплойт»: основа высокоуровневой русскоязычной киберпреступной экосистемы
В следующих разделах я представлю качественный анализ значимых RLCF. Мы кратко рассмотрим различные известные сообщества, оценим их репутацию, технические ноу-хау их членов и характер торговли, происходящей на этих форумах.Основанные в 2004 и 2005 годах, «XSS» и «Exploit» являются одними из старейших и наиболее уважаемых RLCF. Эти форумы привлекают большее количество технически подкованных киберпреступников по сравнению с другими RLCF и служат важными центрами для незаконных услуг и возможностей трудоустройства, связанных со взломом и вредоносным ПО.

Таблица 7. *Методология: пользователь считается активным в 2023 году, если он опубликовал хотя бы одно сообщение. Источник: CybercrimeDiaries.com
1.XSS – «место, где нужно быть» для злоумышленников высокого уровня


Рисунок 8. Действующие сотрудники XSS
a. Истоки ветерана RLCF – от DaMaGeLaB до XSS
XSS, запущенный в конце 2004 года под первоначальным названием «DaMaGeLaB», является одним из старейших русскоязычных киберпреступных форумов. Одним из администраторов «XSS» был белорусский злоумышленник Сергей Ярец, действовавший под псевдонимом «Ar3s»[6]. Его арест в ноябре 2017 года привел к закрытию «DaMaGeLaB», но в 2018 году появилась новая итерация сообщества.
Рисунок 9. Скриншот DaMaGeLaB от 2006 года.
Г-н Ярец был арестован за участие в технической поддержке загрузчика Andromeda, который на тот момент считался одним из крупнейших ботнетов в интернете. Он был быстро освобожден в 2018 году, что вызвало слухи о возможном сотрудничестве господина Ярца с правоохранительными органами после того, как он якобы поделился важной информацией о других членах команды «Андромеды»[7].

Рисунок 10. 21 ноября 2018 года новый администратор XSS объявляет о перезагрузке форума DaMaGeLab под новым названием XSS. Авто переведено с русского.
Возрождение форума стало возможным благодаря резервному копированию «DaMaGeLaB», которое было сгенерировано еще в 2015 году. Сообщается, что эта резервная копия была передана или продана г-ном Ярцом своему давнему знакомому, злоумышленнику, известному как «toha», что позволило ему перезапустить форум под новым именем «XSS» в ноябре 2018 года[8]. toha также известен в киберпреступном сообществе как бывший владелец другой известной RLCF под названием «Exploit». Считается, что сотрудничество «toha» и господина Ярца началось на «Exploit», где «toha» назначила господина Ярца модератором.
Интересно, что, судя по всему, «toha» черпала вдохновение для названия «XSS» в домене xxs.ru, который был связан с более старым российским форумом под названием «Web-Hack.ru», посвященным хакерам и специалистам по информационной безопасности. С 2001 по 2010 год этот форум управлялся человеком, известным как «Terabyte»[9], и «toha» также выступал в качестве модератора.
Согласно откровениям исследователя "3xp0rt", настоящей личностью "toha" может быть господин Антон Авдеев, и утверждается, что этот злоумышленник проживает в России[10].

Рисунок 11. Исследователь 3xp0rt занимается доксингом известных российских злоумышленников с начала российского вторжения в Украину.
b. Доступ к XSS и особенности этого RLCF
В настоящее время для доступа к содержимому "XSS" требуется регистрация учетной записи, процесс, как правило, прост, если регистрация временно не закрыта. Существует раздел с ограниченным доступом, доступный исключительно для определенных членов. В настоящее время форум является одним из самых активных киберпреступных сообществ, предлагающих своим пользователям услуги автоматизированного депонирования. Примечательно, что он отличается тем, что обладает сервером XMPP, который обслуживает свое сообщество под доменом "@thesecure.biz".В целях собственной безопасности администрация «XSS» запрещает заниматься какой-либо деятельностью или продавать данные, которые могут негативно повлиять на страны бывшего СССР, за исключением стран Балтии.
c. XSS: форум, привлекающий высокопоставленных злоумышленников
Несмотря на то, что XSS является одним из самых значительных форумов RLCF, размер его сообщества и объем сообщений относительно скромны по сравнению с другими русскоязычными киберпреступными форумами. Известность форума заключается в нескольких ключевых аспектах, включая присутствие высокопоставленных злоумышленников, его обширную базу знаний и предполагаемую честность его администрации. Последний фактор имеет первостепенное значение в сфере киберпреступников, поскольку администраторы таких сообществ должны вызывать доверие, беспристрастно расследуя споры и обеспечивая минимальный уровень защиты и анонимности для своих участников.Известные злоумышленники, в том числе публичные представители банд вымогателей и администраторы из других RLCF, поддерживают присутствие в «XSS». Некоторые из наиболее заметных фигур включают аффилированных лиц LockBit, ALPHV или других групп вымогателей, а также нынешнего владельца форума «RAMP», злоумышленника «Stallman». Их участие в «XSS» служит как их оперативным потребностям, так и повышает их репутацию в экосистеме киберпреступников. XSS играет существенную роль для этих злоумышленников, поскольку служит платформой для продвижения партнерских программ, продажи незаконных услуг и вредоносного ПО и, конечно же, для общения с коллегами-киберпреступниками. Кроме того, он служит жизненно важным пространством для разрешения споров и инициирования кампаний по дезинформации против конкурирующих субъектов.

Рисунок 12. Примеры арбитражных тредов, открытых на XSS. Авто переведено с русского.
Одна из таких кампаний по дезинформации произошла в январе 2022 года[11] и была нацелена на злоумышленника «KAJIT», который в то время был администратором RLCF «RAMP». Этот спор можно без преувеличения рассматривать как антологический. В нем участвовали представители RaaS-программы LockBit, которые обвинили «KAJIT» в том, что он является внедренным агентом полиции. "LockBitSupp" одержал верх, так как "KAJIT" был забанен, а администратор "XSS" посоветовал "KAJIT" продать свой форум "RAMP" злоумышленнику "Stallman", потому что ему больше никто не доверял.

Рисунок 13. Столлман, нынешний администратор RAMP, опровергает обвинения LockBitSupp против KAJIT и подтверждает, что RAMP не находится под контролем полиции. Авто переведено с русского.
d. XSS: форум, привлекающий высокопоставленных злоумышленников
Как видно из таблицы 8, рекламные ветки на «XSS» в 2023 году показывают, что это всестороннее киберпреступное сообщество, объединяющее специалистов по кардингу, брокеров первичного доступа, разработчиков MaaS и других специалистов по киберпреступникам. Эти категории охватывают широкий спектр действий киберпреступников, которые могут дополнять друг друга.
Таблица 8. Источник: CybercrimeDiaries.com

Рисунок 14. Злоумышленник johndoe7 продает лицензии на Cobalt Strike. Авто переведено с русского.
Например, на «XSS» киберпреступник может приобрести чистую лицензию Cobalt Strike, купить уязвимости 0-day, кастомизированное вредоносное ПО или подписаться на MaaS и приобрести услугу шифрования для обхода антивирусов. В качестве хостинга своих командных серверов (C2) киберпреступники могут выбирать из большого ассортимента пуленепробиваемых хостеров. В конечном итоге, как только их деятельность будет монетизирована, злоумышленники могут «очистить» свои криптовалюты или грязные деньги, обратившись к специализированным сервисам по отмыванию денег, присутствующим на форуме.

Рисунок 15. Злоумышленник backdoor-seller готов продать RCE-эксплойт за 25 000 долларов.

Рисунок 16. Злоумышленник hackerGPT готов купить 0-day эксплойт на сумму до 500 000 долларов.

Рисунок 17. Пример MaaS и других услуг, продаваемых на XSS.
"XSS" и "Exploit", хотя и являются отдельными форумами, тесно сотрудничают в обеспечении соблюдения своих правил. Если будет обнаружено, что участник участвует в мошенничестве или нарушении правил на одном форуме, другой, скорее всего, также заблокирует его, особенно если связь между его аккаунтами очевидна, например, у него одинаковое имя пользователя или идентичные контакты. Это сотрудничество частично объясняется общей историей форумов и присутствием модераторов, которые работают на обеих платформах, таких как "Quake3" и "weaver". В январе 2024 года был широко разрекламированный случай такого сотрудничества, когда "Exploit" также заблокировал представительский аккаунт LockBit на форуме после того, как он был первоначально заблокирован на "XSS"[12].
Эксплойт – выборочный, но успешный высокоуровневый RLCF


Рисунок 18. Сотрудники Exploit.
1. Истоки одного из старейших и известных RLCF
Запущенный примерно в апреле 2005 года под названием "Hack-All", "Exploit" является еще одним ветераном RLCF. Форум изменил свое название после того, как в 2006 году у него якобы был украден контроль над доменом hack-all.net, затем форум переехал на новый домен «exploit.in»[13] и официально переименовался в феврале 2006 года. Форум также принадлежал злоумышленнику «toha», пока он якобы не продал его «известным и проверенным партнерам» в мае 2018 года.

Рисунок 19. Первая версия форума Exploit (тогда она называлась Hack-All) была выпущена в мае 2005 года[14]. Авто переведено с русского.
2. Слухи вокруг Exploit – под контролем правоохранительных органов?
Переход «Эксплойта» к новому руководству в 2018 году вызвал значительное количество критики и скептицизма, в первую очередь из-за нераскрытия личностей новых владельцев. Начали распространяться домыслы и слухи о потенциальном захвате власти российскими или украинскими спецслужбами, которые периодически всплывают.
Рисунок 20. Эксплойт в 2024 году.
Слухи о контроле над «Эксплойтом» со стороны правоохранительных органов начали распространяться после того, как летом 2018 и 2019 годов на серверах XMPP форума (@exploit.im) возникли неожиданные и необъяснимые технические проблемы. В то же время, один из модераторов «Exploit», злоумышленник «SUB_ID», заявил в сообщении, что сервер XMPP/Jabber «Exploit» отслеживается, и предложил участникам форума рассмотреть возможность использования другого сервера. Это сообщение вызвало бурную дискуссию на форуме. Однако другой модератор по имени «AD0» попытался дискредитировать заявление «SUB_ID», предположив, что он сам может быть связан с правоохранительными органами. В конце концов, "AD0" также выразил обеспокоенность по поводу будущего форума после ухода его бывшего администратора, злоумышленника "toha".
По словам российского хакера Андрея Спорова, известного как «Sp0raw», «Exploit» был внедрен Службой безопасности Украины как минимум с 2015 года[15]. Действительно, хакер еще в 2019 году утверждал, что модератор «Exploit», а затем хостер «Whost», после его ареста сотрудничал с украинской полицией[16]. Эти утверждения не поддаются проверке, но значительная часть киберпреступного сообщества доверяет им[17].

Рисунок 21. Угрожающий актер Хост безуспешно пытался сослаться на то, что он не имеет никакого отношения к ФБР. Члены Exploit считали, что, хотя Хост был арестован в Украине, за операцией стояло ФБР. Авто переведено с русского.
Последняя волна слухов о контроле «Эксплойта» со стороны правоохранительных органов появилась на фоне вторжения России в Украину в октябре 2022 года. Павел Ситников, пророссийски настроенный и администратор Telegram-канала «Freedom Fox», специализирующегося на темах, связанных с киберпреступностью, утверждал, что г-н Авдеев по прозвищу «toha» продал «Exploit» Службе безопасности Украины[18]. После публичного опровержения со стороны «тохи» г-н Ситников впоследствии отказался от своих обвинений. Важно признать, что эти утверждения могут быть частью дезинформационной кампании, а также есть необоснованные утверждения о причастности ФСБ России к контролю над «Эксплойтом».
3. Методы доступа к Эксплойту и особенности настоящего RLCF
С 2018 года и прихода новых владельцев было внесено несколько изменений. Новые администраторы ввели регистрационный взнос в размере 100 долларов для всех новых пользователей, чтобы отпугнуть потенциальных мошенников и неопытных злоумышленников. Тем не менее, новички могут получить бесплатное членство, если они занимают административные должности или роли модератора на других «дружественных» форумах или могут продемонстрировать, что обладают знаниями в области, связанной с вредоносным ПО, разработкой программного обеспечения или взломом.Кроме того, на форуме есть два закрытых раздела, известных как «1-й уровень доступа» и «2-й уровень доступа». Первый защищен паролем, и пользователь может получить пароль после достижения порога в 50 сообщений. «2-й уровень доступа» доступен только доверенным и проверенным участникам, которые были одобрены участниками форума с доступом к этому ограниченному уровню и администраторами.
Как и в случае с «XSS», таргетирование стран с русскоязычным населением сильно ограничено[19].

Рисунок 22. Требование пароля первого уровня.
4. Эксплойт – ключевое место для киберпреступности высокого уровня

Рисунок 23. Представительский аккаунт Lockbit на Exploit до того, как он был заблокирован 31 января 2024 года. Злоумышленник использовал в качестве аватара фотографию эксперта по кибербезопасности г-на Джона Димаджио.
Как и «XSS», «Exploit» является важным узлом для продвинутых злоумышленников, таких как банды вымогателей, разработчики вредоносных программ и брокеры первоначального доступа. Те же актеры, что и на "XSS", могут быть найдены под идентичными или разными дескрипторами на "Exploit". Относительная избирательность этого RLCF способствует разработке передового контента и предоставляет его членам доступ к базе знаний.

Рисунок 24. В разделе Exploit представлены разделы, посвященные предоставлению знаний по различным ценным для хакеров темам. Авто переведено с русского.
Например, значительное количество исходного кода вредоносного ПО находится в свободном доступе для участников. Затем злоумышленники могут адаптировать код к своим потребностям и разработать новое вредоносное ПО. Создатель программ-вымогателей LockBit Black 3.0 или Babuk, исходный код стилеров, ботнетов и RAT публикуются и обсуждаются в разделе «Эксплойт». Также можно легко найти подробные руководства по эксплуатации уязвимостей в веб-приложениях или различных типах программного обеспечения.

Рисунок 25. Злоумышленник опубликовал обратный анализ загрузчика Amadey. Авто переведено с русского.
5. Эксплойт – ключевое место для киберпреступности высокого уровня
Как показано в таблице 9, с общим количеством более 12 тысяч тем, созданных в течение 2022 года, «Эксплойт» является ключевой публичной платформой для киберпреступников. Аукционы, объявления о вакансиях, рассылка спама и украденные логи — самые распространенные темы на маркетплейсе. Тем не менее, некоторые темы, связанные с банковским мошенничеством, ограничены в разделе «Эксплойт», что объясняет, почему на рынке не существует категории, предназначенной для кардинга.

Таблица 9. Источник: CybercrimeDiaries.com
Аукционный раздел «Эксплойт» в основном заполнен корпоративными доступами на продажу. Эти доступы принадлежат самым разным компаниям, от очень маленьких до огромных многомиллиардных транснациональных компаний. Реже злоумышленники выставляют на аукцион украденные базы данных или банковскую информацию.

Рисунок 26. Аукционы по Exploit в основном состоят из тем, связанных с продажей доступа к инфраструктуре компаний, базам данных или поддельным документам. Автоперевод с русского.
Раздел «Работа» содержит сотни тем, созданных киберпреступниками, ищущими разработчиков вредоносного кода, и злоумышленниками, ищущими работодателя и рекламирующими свои возможности. Раздел «Другое» включает в себя около тысячи потоков с различными инструментами, такими как скрипты синтаксического анализа, средства проверки логов, антидетект-браузеры и сервисы поиска. Раздел «Доступ» небольшой, потому что на «Эксплойте» большинство транзакций, связанных с корпоративным доступом, происходят скорее в разделе «Аукционы».

Рисунок 27. Злоумышленник с депозитом в 1 BTC рекламирует свои возможности кодирования. Авто переведено с русского.
Несмотря на то, что они не так известны, как «XSS» или «Exploit», которые почти приобрели всемирную медиатизацию благодаря присутствию основных злоумышленников-вымогателей, другие RLCF играют центральную роль в экосистеме киберпреступников и заслуживают краткого упоминания.
Форум LolzTeam aka «социальная инженерия» — царство бродяг и молодых киберпреступников
Как упоминалось ранее, RLCF в категории «Прочее/Киберпреступность» изначально создавались не только для киберпреступной деятельности. На самом деле, большинство этих форумов начинались как дискуссионные площадки для геймеров и подростков. Тем не менее, их администраторы понимали, что если позволить киберпреступникам процветать на их форумах, это может привлечь большую аудиторию и принести дополнительный доход. Бесспорным лидером среди этих форумов является «LolzTeam» не только из-за своего обширного сообщества, но и из-за ключевой роли, которую он играет в более широкой русскоязычной киберпреступной экосистеме.Успех «LolzTeam» побудил других злоумышленников создать свои собственные версии этого сообщества в попытке привлечь аналогичную аудиторию. В качестве примера можно привести форум «Lozerix», запущенный в 2021 году. «Lozerix» даже пытается повторить структуру и внешний вид «LolzTeam», но в настоящее время далек от достижения такого же уровня успеха. Другой случай - RLCF "Mipped", который очень низко активен по сравнению с "LolzTeam" и очень активен по сравнению с "XSS" или "Exploit". Качественный анализ этого форума, в первую очередь сосредоточенный на взломе и мошенничестве в видеоиграх, делает его ненужным для дальнейшего обсуждения в этой статье.

Таблица 10. Источник: CybercrimeDiaries.com
1. LolzTeam – гигантское сообщество, которое незначительно фокусируется на киберпреступности.

Основанный в 2013 году г-ном Гришей Сучковым, «LolzTeam», также известный как «Зеленка», в настоящее время является одним из самых популярных русскоязычных форумов. Имея около 250 000 ежедневных посетителей, форум по сути превратился в своего рода социальную сеть для подростков. В то время как подавляющее большинство участников этого форума не вовлечены в какую-либо незаконную деятельность, на этой доске активно работает меньшинство киберпреступников, специализирующихся на различных формах мошенничества низкого уровня, генерации трафика (traffers) и краже аккаунтов.

Рисунок 28. LolzTeam в 2024 году.
Согласно официальной статистике, 65% участников «LolzTeam» родом из России, 20% — из Украины, а остальные — из других бывших советских республик, таких как Беларусь[20]. Большинство посетителей находятся в возрастном диапазоне от 16 до 25 лет, что соответствует основной тематической направленности форума. «LolzTeam» в первую очередь углубляется в темы, связанные с соревновательными видеоиграми, читерскими инструментами и внутриигровыми предметами (одеждой персонажа, оружием и другими предметами, которые обычно называются «добычей» на английском языке).
В последнее время репутация этого RLCF среди киберпреступников пострадала из-за агрессивной политики монетизации его администрации, направленной против продавцов MaaS.

Рисунок 29. Официальная статистика деятельности Lolzteam – май 2023 года.
2. LolzTeam – гигантское сообщество, которое незначительно фокусируется на киберпреступности
С момента своего создания, помимо разработки и продажи товаров и услуг, связанных с видеоиграми, сообщество постепенно начало продавать украденные аккаунты в Steam и социальных сетях. Этот сдвиг в сторону размещения киберпреступного сообщества начался примерно в 2016 году, когда администрация форума начала публиковать обучающие материалы о том, как украсть аккаунты в социальных сетях и провести мелкие мошеннические схемы. В отличие от «XSS» или «Exploit», нацеливание на русскоязычных является приемлемой и широко популярной деятельностью злоумышленников, активных в «LolzTeam».На этой доске часто обсуждаются и популяризируются различные мошеннические методы, такие как пресловутая техника «Антикино»[21]. Этот метод заключается в вымогательстве денег у жертвы, убеждая ее в том, что она покупает билет в кино на первое романтическое свидание. Как правило, жертва познакомилась с привлекательным человеком в приложении для знакомств и на его предложение согласилась на первое свидание в кинотеатре. Попросив свою жертву приобрести билеты на поддельном сайте кинотеатра, обаятельная особа прекращает всякое общение. Манипулирование жертвами с помощью различных форм социальной инженерии составляет значительную часть незаконной деятельности в рамках «LolzTeam».

Рисунок 30. Посты в блоге опубликованы администрацией LolzTeam в 2016 году. Авто переведено с русского.
Чтобы поддержать развитие продажи законно принадлежащих или украденных аккаунтов, администрацией «LolzTeam» был создан совершенно отдельный маркетплейс[22]. По сообщениям, в феврале 2024 года на маркетплейсе, принадлежащем «LozlTeam», выставлено на продажу 282 999 учетных записей в социальных сетях и игровых платформах.

Рисунок 31. Предположительно, в феврале 2024 года на специализированной торговой площадке, принадлежащей LozlTeam, будет продано 282 999 штолленов и законных учетных записей. Авто переведено с русского.
3. LolzTeam - царство Траффера
Помимо этих мелких махинаций, на «LolzTeam» появились более опасные действия, связанные с продажей инфостилеров и рекламой команд трафферов. «Бродяги» — это киберпреступники, стремящиеся распространять вредоносное программное обеспечение, часто используя хорошо зарекомендовавшие себя аккаунты YouTube, Instagram или TikTok с важной пользовательской базой. Как правило, они публикуют привлекательный контент, такой как реклама «бесплатной лицензии Photoshop» с URL-адресами в комментарии, перенаправляющими на вредоносный веб-сайт или файл, зараженный вредоносным ПО для кражи информации. Например, украденный аккаунт YouTube со 172 000 подписчиков был выставлен на продажу примерно за 550 долларов на «LolzTeam» и мог быть использован именно для этой цели.
Рисунок 33. Команды Traffers набирают новых участников на LolzTeam. Авто переведено с русского.

Рисунок 34. Команда трафферов набирает новых участников в LolzTeam. Авто переведено с русского.
Барьер для входа в эту киберпреступную деятельность на самом деле очень низок, так как подробные инструкции, объясняющие, в чем заключается работа трейдера и как его выполнять, находятся в свободном доступе на форуме[23].

Рисунок 35. Подробное руководство, объясняющее, как стать успешным трейдером, было опубликовано на LolzTeam. Авто переведено с русского.
4. LolzTeam – важный хаб для начинающих мошенников и начинающих киберпреступников
Коммерческие треды, опубликованные на «LolzTeam» в 2023 году, как показано в таблице 11, подчеркивают наличие киберпреступной деятельности, связанной с трафферами, инфостиллерами и связанными с ними услугами, такими как разбор журналов и проверка криптокошельков. Напротив, разделы, посвященные работам и услугам, связанным с программированием, фишингом и скриптингом, менее популярны и менее технически продвинуты, чем в других известных RLCF.

Таблица 11. Источник: CybercrimeDiaries.com
5. Г-н Гриша Всчков на распутье
Когда в 2013 году в возрасте 15 лет ему было 15 лет, г-н Гриша Сучков создавал «LolzTeam», он не ожидал, что его проект станет таким же популярным и успешным, а его форум впоследствии станет хабом для киберпреступников. Эти факты и молодой возраст г-на Сачкова, вероятно, объясняют, почему, в отличие от других администраторов RLCF, он открыто делился значительным объемом личной информации, в конечном итоге став своего рода знаменитостью в созданном им сообществе. Участники «LolzTeam» активно следят за г-ном Сачковым в социальных сетях и даже создали множество мемов с его фотографиями.В своем интервью в апреле 2023 года[24] г-н Сучков, похоже, признает, что доходы, получаемые его форумом, можно рассматривать в лучшем случае как «серые», что ставит его в сложное положение в отношениях с властями своей страны. В ближайшие годы администратору «LolzTeam», возможно, придется принимать решение между продолжением продвижения деятельности киберпреступников и изучением альтернативных методов монетизации.
С 2022 года на «LolzTeam» заметно уменьшилось количество контента, связанного с инфостилерами и трафферами. Это может свидетельствовать о том, что администрация решила ограничить количество противоправного контента на форуме. Еще одно возможное объяснение — сообщения об агрессивном подходе к монетизации, нацеленном на продавцов MaaS на «LolzTeam». Согласно тредам на других RLCF, разработчики инфостилеров с мая 2023 года выражают обеспокоенность по поводу того, что их неоднократно обманывают модераторы «LolzTeam», которые часто закрывают их коммерческие темы под различными предлогами и требуют оплаты, чтобы они могли продолжать свою деятельность на форуме. Очевидно, что такая ситуация пагубно повлияла на репутацию «LolzTeam» среди киберпреступников.

Рисунок 36. Примеры фотографий и мемов, которые можно найти в сети с поиском «ланской» на Яндексе.
Банковское мошенничество и картинг RLCF
Существует множество RLCF, специализирующихся в основном на кардинге, с примерно 20 активными сообществами. Однако уровни их активности варьируются. В настоящее время только около трех форумов пользуются большой популярностью, а именно "WWH-Club", "Club CRD" и "CrdPro", причем последний в основном посещают англоговорящие люди. Эти сообщества предлагают доступ к обширным знаниям о краже и мошенничестве с кредитными и подарочными картами. Среди них выделяется один форум - "WWH-Club" служит платформой, где киберпреступники могут приобрести навыки, связанные с кражей данных кредитных карт, и узнать, как получить прибыль от этой незаконной деятельности.

Таблица 12. *Методология: пользователь считается активным в 2023 году, если он опубликовал хотя бы одно сообщение. Источник: CybercrimeDiaries.com
1. WWH-Club – король кардинга

Созданный в 2014 году, «WWH-Club» превратился в одну из самых активных RLCF, специализирующихся на кардинге и банковском мошенничестве. За эти годы она успешно создала обширное сообщество и позиционировала себя как образовательный центр для злоумышленников, стремящихся расширить свой опыт в кардинге. Администрация форума использует их знания, предлагая обучающие курсы для участников, готовых инвестировать 1200 долларов за премиум-членство.
Агрессивная стратегия монетизации форума, реализованная в последние годы, в сочетании с многочисленными[26] жалобами на предвзятый арбитражный процесс, доступный только премиум-участникам[27], негативно сказались на его репутации и благонадежности.

Рисунок 37. WWH-Club в 2024 году.
Создание аккаунта на форуме бесплатно; Однако, чтобы получить полные привилегии членства, включая возможность взаимодействовать с сообществом путем публикации сообщений, новые участники должны внести минимальный платеж в размере 100 долларов. В мае 2023 года администрация форума сообщила об общем количестве участников в 353 000 человек, из которых около 112 000 были активны в течение последних 72 часов. Эти цифры кажутся завышенными, возможно, с целью привлечения рекламодателей.

Рисунок 38. В марте 2023 года администрация WWH-Club заявила, что за последние 72 часа на форуме зарегистрировано 353 000 аккаунтов и 112 000 активных участников. Авто переведено с русского.
Весной 2023 года сотрудники «WWH-Club» представили новый сайт-сателлит, который по сути функционирует как маркетплейс. В то время как предлагаемые услуги и продукты тесно связаны с теми, которые доступны на основном форуме, формат маркетплейса предназначен для улучшения пользовательского опыта и создания большей ценности от сообщества форума. Судя по всему, эта идея не сработала так, как задумывалось, потому что спустя почти год после запуска маркетплейс стал менее популярен, чем сам форум[28].

Рисунок 39. Весной 2023 года WWH-Club запустил собственный маркетплейс, где продавцы с форума могут рекламировать свои нелегальные услуги.
Когда речь заходит об услугах, которые киберпреступник может найти на «WWH-Club», из приведенной ниже таблицы ясно видно, что эти предложения в значительной степени ориентированы на кардинговое сообщество. Всего в 2023 году было размещено 8870 тем, из которых около 3799 в разделе, посвященном самой кардинговой деятельности. С количественной точки зрения, второй по значимости раздел под названием «Все остальное» посвящен продаже товаров и услуг, таких как объекты, купленные с помощью украденных кредитных карт, спам-сервисы и другая реклама, которую пользователи не знали, куда классифицировать.
Другие разделы, такие как «Дебетовые карты, готовые кошельки», предлагают злоумышленникам услуги по открытию банковских счетов с поддельной личностью в разных странах. Эти услуги также включают в себя технику для извлечения украденных денег через банковские счета – или, как это называется на жаргоне, «для обналичивания».
Поэтому на маркетплейсе присутствуют разнообразные услуги, необходимые для ведения кардингового бизнеса, такие как поддельные документы, удостоверяющие личность, инфраструктура или базы данных.

Таблица 13. Источник: CybercrimeDiaries.com
Fraud RLCF – это различные услуги, начиная от мошеннических схем и заканчивая услугами по выводу средств и отмыванию денег
Из 13 выявленных мошеннических форумов 3 в настоящее время очень активны и популярны. Несмотря на то, что эти форумы имеют некоторые общие черты, каждый из них стремится установить свою уникальную идентичность. Например, «DarkMoney» концентрируется на отмывании денег, «Probiv» специализируется на доисках, а «DarkSave» известен, в том числе, продажей поддельных документов.По нашим наблюдениям, эти сообщества в первую очередь привлекают киберпреступников, занимающихся мошенническими схемами, нацеленными на страны СНГ.

Таблица 14. Источник: CybercrimeDiaries.com
1. Отмывание грязных криптовалют

Многочисленные сервисы по отмыванию денег и выводу средств можно найти на "DarkMoney". Киберпреступники, стоящие за этими сервисами, обещают очистить грязные криптовалюты и организовать вывод средств либо на банковский счет, который также может быть куплен или создан с нуля с поддельной личностью, либо через посредника, называемого «дропом».
В качестве примера можно привести один из многих наблюдаемых сервисов на «DarkMoney», который принимает, например, различные криптовалюты и позволяет своим клиентам получать очищенные фидуциальные деньги наличными, в валюте по своему выбору, или получать деньги на счет в российском или украинском банке. Наконец, на форуме также можно найти множество аккаунтов, объясняющих, как вести бизнес с грязными деньгами и уклоняться от налогов.

Рисунок 40. Сервис по выводу средств, рекламируемый на DarkMoney. Авто переведено с русского.

Таблица 15. Источник: CybercrimeDiaries.com
2. Probiv - Поиск информации о ком-либо

Русский термин «пробив», что переводится как «прорывающийся» через что-либо, обычно используется на RLCF для рекламы сервисов поиска. Один из примечательных форумов, метко названный «Probiv», известен своим значительным присутствием злоумышленников, занимающихся этой деятельностью. Что отличает эти поисковые сервисы, так это то, что киберпреступники, рекламирующие их, часто имеют доступ к базам данных государств и компаний. Такой доступ обычно приобретается через украденные базы данных или путем вербовки инсайдеров, работающих в правоохранительных органах, государственных органах, банках или компаниях операторов мобильной связи.
Наличие инсайдерской помощи позволяет поставщикам услуг поиска получить широкий спектр информации о физических лицах из стран бывшего СССР. Кроме того, злоумышленники, заинтересованные в вербовке инсайдеров, также нацелены на сервисы онлайн-платежей, социальные сети и компании по обмену мгновенными сообщениями.

Рисунок 41. Злоумышленник, ищущий инсайдеров в различных компаниях и администрациях. Авто переведено с русского.
Некоторые киберпреступники без колебаний пытаются завербовать сотрудников из международных правоохранительных органов. Сотрудники Интерпола и Европола входят в число сотрудников, которые разыскиваются.

Рисунок 42. Пример пробив-сервиса с доступом к инсайдерам Европола и Интерпола. Авто переведено с русского.

Рисунок 43. Злоумышленник осуществляет поиск сотрудников социальных сетей.
Как показано в таблице 16, «Probiv» также привлекает злоумышленников, специализирующихся на продаже поддельных удостоверений личности, услугах по вводу и выводу наличных, а также мошенников, связанных с автомобилями. В разделах вакансий в основном размещаются объявления о трудоустройстве и поиске работы, связанные с «дропами». Дропы — это реальные или фальшивые люди, готовые отдать все свои официальные документы для открытия банковских счетов или выполнения различных задач, таких как получение денег или наркотиков для реального владельца в обмен на комиссию.

Таблица 16. Источник: CybercrimeDiaries.com

Рисунок 44. Пример услуги "дроп", рекламируемой на Probiv. Автоперевод с русского.
Препараты диверсификации РЛКМ
RLCF, специализирующиеся на продвижении и продаже наркотиков, являются очень активными и успешными сообществами. Такие форумы, как «WayAway», приносят значительные доходы благодаря рекламе и партнерству с торговцами наркотиками. В связи с очевидным характером торговли, происходящей на этих форумах, мы не будем вдаваться в подробности, тем не менее, можно кратко выделить некоторые интересные тенденции.1. Стратегия диверсификации RuTor - развитие кардинга и других вредоносных активностей

С начала 2023 года мы наблюдаем, что «RuTor» инициировал диверсификацию своей деятельности, открывая или расширяя разделы, посвященные кардингу и различным вредоносным схемам.
Администрация «РуТора» не только запустила кардинговый раздел, но и внедрила разделы для отмывания денег, взлома и подделки документов. Это иллюстрирует намерение владельцев данного RLCF расширить пользовательскую базу форумов и потенциально повысить покупательскую способность потребителей наркотиков.
Администрация "RuTor" инвестировала в развитие кардной деятельности путем публикации учебных пособий и пособий. В подразделе туториалов опубликовано более 91 темы, а форумчане предлагают обучить техникам кардинга за отдельную плату. Миссия злоумышленника и модератора «Принцессы» заключается в развитии этого раздела и создании контента, подчеркивая финансовые обязательства «РуТора», поскольку модераторы не предоставляют свои услуги бесплатно.
Кроме того, наличие раздела, посвященного взлому, утечкам баз данных и генерации трафика, подчеркивает диверсификацию форума. В настоящее время предложения по взлому и вредоносному ПО, рекламируемые на этом RLCF, отличаются от предложений на популярных форумах, таких как «Exploit» или «XSS», тем, что сосредоточены на низкоуровневом контенте, таком как взлом учетных записей в социальных сетях и DDoS-сервисы.
Чтобы оценить долгосрочные последствия, важно следить за эволюцией русскоязычных форумов по наркотикам в ответ на эти события.

Рисунок 45. Раздел о кардинге по препаратам RLCF RuTor.

Рисунок 46. Разделы «Взлом» и «DDoS» также присутствуют на RuTor.

Таблица 17. Источник: CybercrimeDiaries.com
Для просмотра ссылки необходимо нажать
Вход или Регистрация