Правоохранительные органы США ликвидировали один из крупнейших рынков даркнета RAMP, популярный среди операторов программ-вымогателей и киберпреступников. Изъятие доменов стало серьезным ударом по инфраструктуре киберпреступности, хотя эксперты ожидают быстрой миграции пользователей на другие площадки.
Киберпреступники, занимающиеся программами-вымогателями, только что лишились одной из своих лучших бизнес-платформ. Правоохранительные органы США изъяли домены печально известного даркнет-форума RAMP как в теневом, так и в открытом сегментах интернета.
RAMP, аббревиатура от Russian Anonymous Marketplace (Русский Анонимный Рынок), был онлайн-рынком, который пользовался популярностью у банд, предлагающих программы-вымогатели как услугу (ransomware-as-a-service), шантажистов, брокеров первичного доступа и других злоумышленников, специализирующихся на цифровых преступлениях. На его сайтах теперь отображается сообщение: «Этот сайт изъят», с указанием, что закрытие произведено ФБР в координации с Офисом прокурора США по Южному округу Флориды и Секцией по компьютерным преступлениям и интеллектуальной собственности Министерства юстиции.
Федералы также потроллили операторов форума баннером с надписью «Единственное место, где разрешены программы-вымогатели!», сопровождаемым изображением Маши — персонажа из российского мультсериала для дошкольников — подмигивающей.
Хотя ФБР отказалось комментировать изъятие, записи DNS показывают, что федеральные агенты завладели доменами.
Закрытие, по всей видимости, подтвердил и один из предполагаемых операторов форума, известный под ником «Штальман». В сообщении на хакерском форуме XSS, широко распространенном в социальных сетях, Штальман заявил, что правоохранительные органы получили контроль над RAMP.
«Это событие уничтожило годы моей работы по созданию самого свободного форума в мире, и хотя я надеялся, что этот день никогда не настанет, в глубине души я всегда понимал, что это возможно», — написал он. «Это тот риск, на который мы все идем».
Штальман сообщил, что не сможет создать новый форум, но продолжит «покупать доступы. Мой основной бизнес остается прежним».
Крайне маловероятно, что это закрытие знаменует конец деятельности программ-вымогателей и других преступных группировок, которые использовали сайты RAMP для покупки и продажи вредоносного ПО, эксплойтов и рекрутинга аффилиатов. Подобно монстрам из фильмов ужасов, киберпреступные форумы никогда по-настоящему не умирают, и их пользователи, вероятно, рассеются по другим подпольным маркетплейсам для торговли своими незаконными услугами.
Тем не менее, «его потеря представляет собой значительный сбой в работе ключевого элемента преступной инфраструктуры», — заявила в интервью The Register Тэмми Харпер, старший исследователь разведки угроз в Flare, специализирующийся на исследованиях программ-вымогателей.
«Как и в случае с предыдущими закрытиями, устранение крупного хаба не ликвидирует всю экосистему — это вынуждает к миграции», — сказала Харпер. «Сообщается, что такие группы, как Nova и DragonForce, переносят свою активность на Rehub, что демонстрирует способность подполья быстро восстанавливаться в альтернативных пространствах. Эти переходы часто бывают хаотичными, создавая новые риски для злоумышленников: потерю репутации, нестабильность эскроу-сервисов, операционную уязвимость и проникновение в ходе спешки по восстановлению доверия».
Кроме того, добавила она, подобные изъятия, проводимые правоохранительными органами, предоставляют «редкие возможности» для защитников сетей и команд по сбору разведданных об угрозах: «не только для того, чтобы нарушить текущее преступное сотрудничество, но и потенциально получить представление о сетях аффилиатов, финансовых связях и сбоях в операционной безопасности». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons