В этой серии OSINT-расследований мы хотели бы пригласить вас в путешествие в русскоязычную киберкриминальную экосистему. В следующей первой главе мы начнем с изучения истоков этой экосистемы и анализа русскоязычных форумов по киберпреступности (РЛСК), чтобы выяснить, как они появились, развивались и в каком состоянии находятся в настоящее время.
Глава I. Истоки русскоязычной киберпреступной экосистемы и современный ландшафт киберкриминальных форумов
Выводы из первой главы:
· RLCF можно разделить на 6 категорий, содержащих как универсальные форумы, где можно найти большое разнообразие различных видов незаконной деятельности, так и сообщества, которые специализируются на определенном сегменте киберпреступности.
· Из 207 выявленных RLCF только 94 активны на различных уровнях. Как и 10 лет назад[1], количество высокоактивных RLCF стабильно и составляет около 22 форумов, хотя характер и виды незаконной деятельности несколько изменились.
· Русскоязычная киберпреступная экосистема достаточно хорошо структурирована и стабильна, а некоторые старые известные форумы занимают ключевое место в своей категории. В целом, технически продвинутые форумы представляют собой меньшинство и собирают небольшие, но активные сообщества.
· Исключение составляет киберпреступная экосистема по продаже наркотиков, которая до сих пор не стабилизировалась после закрытия маркетплейса «Гидра». Соперничество и конкуренция преобладают среди RLCF, специализирующихся на торговле наркотиками. В настоящее время это самая нестабильная категория, так как часто появляются новые форумы, которые угрожают свергнуть нынешних лидеров.
Истоки русскоязычной киберпреступной экосистемы и форумов
Наш рассказ о киберпреступности в русскоязычной части мира начинается в 1983 году в СССР. В этом году звание первого известного хакера и киберпреступника Советского Союза было присвоено Мурату Утрембаеву, молодому рабочему автопромышленного гиганта «АвтоВАЗ»[2]. Этот советский гражданин был талантливым этническим казахом скромного происхождения, успевшим изучать математику в Москве в престижном Московском государственном университете. К несчастью для него, вместо того, чтобы продолжить блестящую научную карьеру, г-н Утрембаев был вынужден из-за советской системы перераспределения студентов работать сотрудником технического обеспечения второго класса в АвтоВАЗе в городе Тольятти на Волге.
Рисунок 1. Слева: Вычислительный центр Волжского автомобильного завода в Тольятти, Советский Союз. Справа: предположительно господин Мурат Утрембаев.
Г-н Утрембаев считал свое положение особенно несправедливым, поскольку, в отличие от своих более богатых и влиятельных москвичей, он не смог дать взятку, чтобы получить желанную работу. Вместо этого он обнаружил, что выполняет задачи, для которых у него была слишком высокая квалификация. Несмотря на усердную работу и стремление к признанию, он был разочарован, когда почетный диплом, обещанный его начальством, так и не материализовался. Разочарованный тем, что он расценил как вопиющее пренебрежение к его усилиям, г-н Утрембаев решил отомстить, нацелившись на компьютерную систему завода, которая контролировала всю сборочную линию автомобиля.
Молодой человек совершил свою месть, представив дискету со специально запрограммированным «обновлением» для программного обеспечения для управления сборочной линией завода. Этот акт киберсаботажа фактически остановил производство автомобилей на три дня, что привело к значительным финансовым потерям для АвтоВАЗа, измеряемым миллионами рублей. Другим программистам фабрики потребовались значительные усилия и время, чтобы выявить и устранить проблему, вызванную вмешательством г-на Утрембаева.
Из чувства вины и под давлением сотрудников правоохранительных органов и руководства фабрики г-н Утрембаев решил заявить о себе и был приговорен лишь к частичному возмещению причиненного ущерба и условному лишению свободы по статье «За хулиганство». Как ни странно, этот взлом также помог руководству АвтоВАЗа раскрыть другую вредоносную деятельность, которую вели программисты завода. Некоторые из них создавали, а затем решали задачи, которые внедряли в код для получения выплаты бонусов.
Рисунок 2. Программное обеспечение для подачи деталей и узлов на главный конвейер ВАЗа должно было работать без перебоев.
Фото: архив АвтоВАЗа.
Интересно, что исход этой истории проливает свет на несколько важных моментов, которые читателям важно учитывать. Эти моменты действительно дают намек на те предпосылки, которые позволили русской языковой экосистеме появиться и развиваться.
Во-первых, полезно подчеркнуть неготовность советской правовой системы к борьбе с киберпреступностью, которая не была уникальной для СССР и его государств-преемников. Это явление отражает более широкую истину: во всех обществах и сферах человеческой деятельности правовые рамки, как правило, являются реактивными, а не проактивными. Законодателям постоянно приходится обновлять правила в ответ на новые тенденции и злоупотребление новыми технологиями. Недавние примеры этого включают появление криптовалют, отказ от социальных сетей и последние разработки в области генеративного искусственного интеллекта.
Кроме того, случай г-на Утрембаева подчеркивает лингвистические, политические и этнические особенности, характерные для постсоветского пространства: русскоговорящий человек не обязательно является русским. Действительно, русский язык широко распространен в бывших советских республиках из-за политики русификации, проводимой Российской империей, а затем советским руководством. Это может показаться вполне очевидным, но путаница между разговорной речью, политической идентичностью, гражданством и этнической принадлежностью настолько распространена, когда СМИ говорят о «русских хакерах», что мы сочли полезным подчеркнуть этот момент. В заключение можно сказать, что единственное, что можно сделать из использования русского языка угрожающим субъектом, это то, что он, вероятно, но не обязательно, из бывшего Советского Союза. Распад СССР спровоцировал массовый исход русскоязычного населения в такие страны, как Израиль или Соединенные Штаты, что несколько усложняет идентификацию русскоязычных киберпреступников. Арест в июне 2023 года в США гражданина России из Чечни Руслана Астамирова за участие в развертывании шифровальщика LockBit является свежим примером одних из самых запутанных дел, связанных с русскоязычными киберпреступниками.
Наконец, мотивы киберпреступлений могут быть самыми разными: от мести, как в случае с Утрембаевым, до заманивания прибыли, как это было в случае с некоторыми программистами АвтоВАЗа, которые взломали собственную компанию, чтобы получить бонусы за решение созданных ими задач. Отсутствие профессионально выгодных и хорошо оплачиваемых возможностей также было предпосылкой, которая побудила г-на Утрембаева действовать так, как он поступил. Распад СССР поставил значительное количество технически квалифицированных людей в сложные экономические и личные ситуации, которые иногда развращали их.
Таблица 1. Источник: RadioFreeEurope – данные получены в период с 2001 по 2017 год. К. Коэльо. Ethnologue, сообщения СМИ[4].
Распад СССР в декабре 1991 года вызвал глубокую экономическую и социально-политическую реконфигурацию в бывших советских сателлитах, особенно в 15 новорожденных республиках. Для граждан этих государств 90-е годы характеризовались высоким уровнем бедности, безработицы, коррупции, лазеек в законодательстве, но также и свободой, а для меньшинства – невиданными ранее возможностями обогащения[5]. Технологические инновации, такие как быстрое развертывание Интернета, позволили, например, развить онлайн-банкинг и новые способы социального взаимодействия, такие как онлайн-форумы. Хакерство в бывшем Советском Союзе стало популярной темой среди технически образованного населения и детей, жаждущих учиться, читая один из самых известных российских хакерских журналов под названием «Хакер» (см. xaker.ru). Эти новые возможности были быстро использованы аморальными, но технически грамотными людьми, такими как Владимир Левин, микробиолог из Санкт-Петербурга, который смог украсть 10 миллионов долларов из американского Citibank в 1994 году. Хотя Левин был арестован и заключен в тюрьму на три года, 400 000 долларов так и не были найдены.
Рисунок 3. Фотографии Владимира Левина, микробиолога из Санкт-Петербурга, Россия.
Отсутствие сдерживающих правовых санкций усилило ощущение безнаказанности и всемогущества, которое испытывали русскоязычные киберпреступники, поскольку они могли нанести удар в любой точке мира, где компьютерная система была подключена к Интернету. Хотелось бы отметить, что специфика жизни в Советском Союзе, а затем и в новых республиках в сложные 90-е годы породила субкультуру перманентного выживания для той части населения, которая часто сталкивалась с нормированием и нищетой. Это побудило меньшинство этих людей не доверять всему, что связано с администрацией, и игнорировать законы. Вперемешку с остатками марксистской идеологии и извращенным патриотизмом для некоторых стало приемлемым воровать у «богатых» или у «буржуа» (так называют жителей Запада). Главным правилом самых способных русскоязычных киберпреступников было и остается избегать атак на страны, входящие в Содружество Независимых Государств (СНГ). Этот кодекс поведения иногда мотивирован «патриотическими» концепциями, но также и рациональным расчетом: не привлекать внимания местных правоохранительных органов.
Генезис первых русскоязычных киберкриминальных форумов - постоянно развивающаяся и адаптирующаяся экосистема
Последовавшая за этим ситуация с низким риском и высоким вознаграждением привела к появлению первых русскоязычных киберпреступных организаций и форумов, специализирующихся на кардинге. Это вредоносное средство представляет собой форму мошенничества с кредитными картами, при которой украденная кредитная карта используется для списания средств с предоплаченных карт или покупки товаров. Такие сайты, как «Фабрика удавов» или форум «CarderPlanet», созданный в том числе украинскими хакерами Романом Вегой и Дмитрием Голубовым [7], в начале 2000-х годов были популярными местами для покупки и продажи практически всех активов, полученных в результате финансово мотивированной онлайн-преступной деятельности. Апофеоз безнаказанности, несомненно, был достигнут, когда около 40 киберпреступников из форума «CarderPlanet» организовали в 2002 году первую конференцию «World Carders» в городе Одесса в Украине [8].
Рисунок 4. Скриншот форума CarderPlanet от 2004 года.
В первые годы нового века русскоязычные киберпреступники начали собираться на различных форумах, таких как Antichat (2002), DaMaGeLaB (2004), WASM (2004) или Arbitraj Foum (2004). Эти платформы и по сей день служат хабами для хакеров, чтобы вести бизнес, вербовать новых участников, совершенствовать навыки и учиться, позволяя при этом своим участникам сохранять определенную степень анонимности. Последнее постепенно стало важным аспектом деятельности RLCF, поскольку со временем риски киберпреступности возросли даже в постсоветских государствах. Чтобы повысить конфиденциальность, самые изощренные RLCF начали создавать зеркала Onion, делая их доступными через сеть Tor, и заявили, что они перестали регистрировать IP-адреса участников.
С момента своего создания эта цифровая экосистема постоянно развивалась и адаптировалась к новым прибыльным видам деятельности, таким как картинг, probiv[9], вредоносное ПО как услуга и торговля незаконными продуктами, такими как наркотики. Русскоязычное киберпреступное сообщество было пионером в области киберпреступности, и его адаптивность позволяет ему оставаться надежной экосистемой и по сей день. Тем не менее, развитие технологий и различные геополитические события существенно повлияли на эту экосистему, приведя к ее трансформации. Как и любая социальная группа, RLCF со временем претерпевали изменения, некоторые форумы исчезали или теряли популярность.
Рисунок 5. Скриншот Antichat 2002 года, одного из старейших RLCF, который все еще активен сегодня.
В последние годы русскоязычные и другие глобальные форумы по киберпреступности столкнулись с различными вызовами, влияющими на их развитие. В период с 2018 по 2020 год ряд подтвержденных и предполагаемых нарушений безопасности затронул несколько известных российских RLCF, включая Exploit и BHF. Эти инциденты негативно повлияли на доверие пользователей к безопасности и анонимности форумов. После этих событий поползли упорные слухи о возможном контроле крупных РЛКМ со стороны российских или украинских спецслужб. Эти домыслы часто всплывают на поверхность, вызывая волнения среди участников таких форумов, как XSS, Exploit и RAMP.
Рисунок 6. Предыдущий владелец XSS, обратился к нынешнему администратору форума, чтобы ответить на предположения о предполагаемых связях со Службой безопасности Украины (СБУ). Источник: XSS
В то же время расширение пользовательской базы Telegram, которая взлетела до 700 миллионов активных пользователей в месяц в 2023 году[13], наряду с открытой системой API и гибкостью, побудили многих киберпреступников принять эту платформу для обмена мгновенными сообщениями. Почти полная безнаказанность Telegram сделала его привлекательной альтернативой или дополнительным инструментом к традиционным форумам для этих киберпреступников.
Параллельно с этим глобальные геополитические сдвиги также наложили свой отпечаток на RLCF. Например, потепление в отношениях между Беларусью и Западом в период с 2015 по 2020 год открыло путь к сотрудничеству между белорусскими правоохранительными органами и Федеральным бюро расследований (ФБР) США. Такое сотрудничество принесло свои плоды, о чем свидетельствует арест «Ar3s», ключевой фигуры в троянской группе Andromeda и администратора RLCF «XSS», ранее известного как «DaMaGeLaB»[14]. Начало российско-украинского конфликта в феврале 2022 года внесло новую геополитическую напряженность, уже оказавшее интригующее влияние на ландшафт RLCF.
Размышляя о начале этого исследования всего год назад, можно сказать, что темпы и масштабы изменений в RLCF и их сообществах были ошеломляющими. Только за прошлый год 17 RLCF были закрыты или заброшены. По меньшей мере 15 из них были вынуждены переехать после конфискации правоохранительными органами. Забавным примером является взлет и падение хактивистского форума «Бесконечность», созданного лидерами пророссийской хактивистской группы Killnet. Жизненный цикл этого форума — запуск в конце 2022 года, закрытие весной 2023 года, повторное открытие в сентябре 2023 года, а затем снова заброшенный — является примером текучести, присущей природе RLCF и символизирующей экосистему киберпреступников в целом.
Методологические примечания и предисловие
В этой первой главе мы в основном поговорим о RLCF и попытаемся представить исчерпывающий анализ текущей ситуации, однако форумы, на которых обсуждаются темы, связанные с продажей Орудия и незаконным порнографическим контентом, не охвачены. Кроме того, частные внутренние чаты, такие как тот, который существовал в банде вымогателей Conti, или частные коммуникации TOX и Jabber, также не входят в сферу данного исследования. То же ограничение распространяется и на русскоязычные маркетплейсы, поскольку они не являются настоящими местами общения злоумышленников, а скорее приобретают различные товары или услуги.Наша ориентация на RLCF не означает, что русский язык является единственным языком, на котором говорят на этих форумах. В ходе этого расследования мы учли, что форум может быть помечен как RLCF, если на нем основным языком является русский или если администраторы являются русскоязычными злоумышленниками. В настоящее время популярность русскоязычной киберпреступной экосистемы привлекает злоумышленников со всего мира. Это материализуется либо созданием специальных разделов на английском языке, либо принятием повсеместной публикации сообщений на английском языке. Также наблюдались редкие случаи разрешения RLCF, а также других языков, таких как китайский.
Ландшафт экосистемы RLCF до 2024 года
В 2024 году русскоязычная киберпреступная экосистема состоит как минимум из 113 неактивных и 94 форумов, активных на другом уровне.
Таблица 2. Январь 2024 года.
Взгляд на текущую ситуацию: типология РЛСК, дата создания и уровень активности
Сопоставление этих RLCF подразумевает необходимость их правильной категоризации, чтобы облегчить наш анализ. Для решения этой задачи мы создали шесть категорий, которые представляют собой основную направленность форумов в экосистеме. Эти категории не идеальны и не предназначены для того, чтобы охватить все действия, происходящие на каждом форуме; Скорее, они дают общее представление об основной области специализации Форума. Например, хотя во многих RLCF есть разделы, посвященные кардингу, это не обязательно означает, что их основная деятельность сосредоточена на краже и неправомерном использовании банковских реквизитов. Следовательно, эти категории следует рассматривать как архетипы, которые помогают понять и оценить экосистему.
Таблица 3. Январь 2024 года.
Классификация выявленных РЛСК
- Киберпреступность: эта категория включает в себя универсальные форумы, которые предоставляют широкий спектр услуг и знаний, связанных с кибербезопасностью и компьютерной грамотностью. Типичными киберпреступными форумами являются, например, «Exploit» или «XSS». Злоумышленник может найти там, среди прочего, темы, охватывающие сетевую безопасность, вредоносное ПО и покупку доступа к корпоративным сетям. Эти сообщества избегают продажи любых запрещенных веществ, таких как наркотики или Орудие.Можно создать несколько подкатегорий:
• Утечка данных: RLCF специализируется на продаже и распространении украденных данных, принадлежащих компаниям или частным лицам. "No hide" - один из самых активных форумов этой группы.
o Программы-вымогатели: эта подкатегория основана только на одном форуме, но ее уникальность заслуживает внимания. RLCF «RAMP» был создан в 2021 году в тот момент, когда другие русскоязычные форумы киберпреступников решили запретить любые темы, связанные с программами-вымогателями, после атаки на Colonial Pipeline. Несмотря на то, что банды вымогателей де-факто снова терпимы на RLCF, «RAMP» — это место сбора злоумышленников, участвующих в этой деятельности.
- картинг: как следует из названия, эти форумы в основном специализируются на мошенничестве с кредитными картами, где украденные кредитные карты и банковские данные используются для покупки предоплаченных карт или товаров, которые легко перепродать. Там можно найти и другие методы и инструменты для борьбы с финансовым мошенничеством. Хорошим примером RLCF из этой категории является "WWH-Club".
- Программирование: большинство популярных русскоязычных форумов, посвященных языкам программирования и компьютерной грамотности, как правило, являются безобидными местами. Для этого исследования мы выбрали только те форумы, которые позволяют их участникам разрабатывать вредоносный код и открыто обсуждать вредоносное ПО. "WASM" является одним из самых известных и знаковых программных RLCF, но, как и многие другие форумы из этой категории, он практически неактивен.
- Мошенничество: RLCF, включенные в эту категорию, сосредоточены на всех мошеннических схемах, для которых обычно требуется компьютер или телефон. Такие методы, как создание поддельных документов, отмывание денег, социальная инженерия и незначительное распространение вредоносного ПО, обсуждаются на таких форумах, как «Center Club», «Darkmoney» или «Dublikat».
o Lookups (Probiv): форумы, вероятно, являются одним из наиболее специфичных для СНГ типов киберпреступных сообществ. Их члены продают базы данных, содержащие личную информацию о лицах, в основном проживающих на территории бывшего Советского Союза. Знаковая услуга, которая продается на RLCF под названием «Probiv», представляет собой сбор всей доступной информации о человеке или компании. Обычно это подразумевает покупку частных баз данных или наем инсайдера из государственной администрации или телефонной компании.
• Поддельные документы: такие сообщества, как «Dublikat», в чем-то похожи на Fraud/Cybercrime RLCF, но специально сосредоточены на создании поддельных документов.
• Финансовые услуги: «Darkmoney» предлагает концентрацию услуг, связанных с отмыванием денег и финансовым мошенничеством.
- Наркотики: этот тип RLCF ориентирован на продвижение и торговлю наркотиками. Клиенты могут найти информацию о продавцах и способах обмена своих денег на криптовалюты. "RuTor", "WayAway" и "Pasaremos" являются хорошими примерами таких форумов.
- Другое/Киберпреступность: сообщества, специализирующиеся на дискуссиях о видеоиграх, жизни подростков или информационных технологиях. Их особенность заключается в том, что на их страницах допускаются темы, связанные с киберпреступностью. Несмотря на то, что тематика киберпреступности не является основной темой «LolzTeam», этот форум является важным местом для злоумышленников, специализирующихся на распространении инфостилеров.
Уровни активности и даты создания RLCF
Чтобы измерить уровень активности каждого форума, мы оценили среднее количество сообщений, опубликованных в день, в качестве ориентира. Форумы, на которых ежедневное количество сообщений в среднем составляет от 1 до 20, были отнесены к группе «Низкая» активность. Те, у кого ежедневное среднее количество сообщений варьировалось от 20 до 100, считались имеющими «среднюю» активность. Наконец, форумы с ежедневным количеством сообщений, превышающим 100, были помечены как имеющие «Высокую» активность.
Таблица 4. Методология: Низкая активность – 1-20 сообщений/день, Средняя – 20-100 сообщений/день, Высокая – более 100 сообщений/день. Январь 2024 года.
Таблица 5. Январь 2024 года.
Глобальные наблюдения и тенденции
Даты открытия и показатели активности RLCF подчеркивают заслуживающие внимания закономерности в киберпреступном ландшафте. Среди RLCF, которые все еще активны сегодня, только 20 были запущены в течение первых десяти лет века, что подчеркивает высокий уровень оттока среди RLCF, а также долговечность некоторых ключевых сообществ. Вторая когорта активных в настоящее время RLCF была создана в период с 2010 по 2020 год, с заметным всплеском новых форумов с 2014 по 2016 год. За этот период было создано 54 РЛКФ, которые продолжают свою деятельность и по сей день.картинг, как одно из старейших киберпреступных ремесел, является хорошей иллюстрацией того, как эволюция популярности и прибыльности конкретного киберпреступного ремесла может повлиять на всю экосистему. Значительная часть, 15 из 20 RLCF, занимающихся кардингом, начали свою деятельность в период с 2010 по 2020 год, что отражает устойчивый интерес к этой незаконной деятельности. Тем не менее, распространение разделов о кардинге на форумах по киберпреступности, мошенничеству и даже наркотикам усилило конкуренцию за активную пользовательскую базу. В последнее время многочисленные RLCF, ориентированные на картинг, закрылись или вышли из употребления, а 9 в настоящее время демонстрируют низкую активность. Постоянное присутствие кардинговых форумов, несмотря на миграцию их участников в Telegram, отчасти можно объяснить более низким барьером для входа в эту незаконную торговлю, которая не всегда требует сложных технических навыков.
Рост числа программ-вымогателей как доминирующей угрозы для предприятий, особенно после пандемии COVID, одновременно стал прибыльным предприятием для киберпреступников. RLCF, такие как XSS и Exploit, признаны хабами для операторов программ-вымогателей и поставщиков первоначального доступа. После кибератаки на Colonial Pipeline в 2021 году[16] ведущая RLCF временно запретила обсуждения, связанные с программами-вымогателями, что является стратегическим обманом. Эта среда подтолкнула печально известного оператора шифровальщиков Михаила Матвеева, известного как «wazawaka», к созданию «RAMP» (Ransomware Anonymous Market Place — не путать со знаменитым форумом по наркотикам под названием «Российская анонимная торговая площадка», который был закрыт в 2017 году) — форумом, посвященным деятельности программ-вымогателей. Несмотря на первоначальную популярность, рост RAMP был затруднен непредсказуемым поведением ее основателя. Уровень его активности постепенно рос с момента передачи права собственности злоумышленнику Stallman в 2022 году, но он все еще отстает от таких форумов, как XSS или Exploit. Это говорит о том, что программы-вымогатели, хотя и являются одной из крупнейших угроз кибербезопасности, не могут собрать огромное сообщество сами по себе и остаются специализированным подмножеством в более широкой киберпреступной среде.
Несмотря на то, что Drugs RLCF не связаны напрямую со взломом, они представляют собой гигантские машины для получения денег, которые имеют свою собственную систему отмывания денег, используемую другими киберпреступниками, включая бизнес вымогателей. Одной из таких площадок стал русскоязычный маркетплейс «Гидра», закрытый властями Германии в апреле 2022 года[17]. С тех пор было запущено 8 новых препаратов RLCF, что иллюстрирует динамизм продолжающейся конкуренции между наркодилерами, нацеленными на рынок СНГ. После закрытия маркетплейса «Гидра», RLCF, такие как RuTor, Legalizer и WayAway, увидели всплеск регистраций, насчитывающий от 160 000 до 300 000 новых аккаунтов каждый[18]. С другой стороны, вторжение России в Украину оказало негативное влияние на рынок лекарственных препаратов RLCF. На форуме по наркотикам Legalizer, который фокусируется на украинском рынке, в 2023 году количество пользователей резко сократилось.
Слабоактивные RLCF – форумы на спаде и новые сообщества
Большинство слабо активных RLCF — это довольно старые сообщества киберпреступности, наркотиков и кардинга. Универсальные форумы, такие как "Prologic" или "Xaker", которые были запущены соответственно в 2006 и 2007 годах, почти заброшены. Аналогичную судьбу относительного упадка можно наблюдать на нескольких старых форумах по кардингу. RLCF из этой категории, как и форумы «картинг форум» или «Монца», которые были созданы в 2009 и 2012 годах, в течение 2023 года были отключены.В категории «Наркотики» 10 РЛКФ слабоактивны. Это объясняется либо тем, что они появились недавно, как, например, форум Solaris, который связан с одноименным маркетплейсом лекарств, либо тем, что это старые, но умирающие проекты, такие как РЛКМ «СКП», из-за чего их будущее трудно предсказать. В качестве примера можно привести препараты RLCF «DeepRC», которые были запущены в 2022 году, но не выжили. Необходимы дальнейшие наблюдения для оценки жизнеспособности этих форумов.
В случае с программированием RLCF оценку сделать проще, так как все 7 форумов, посвященных разработке вредоносных программ, в настоящее время практически неактивны. Их сообщества были поглощены универсальными форумами по киберпреступности, где темы, связанные с разработкой и программированием вредоносных программ, являются обычным явлением. За такими форумами, как "WASM", было особенно интересно следить в период повышенной активности, потому что несколько модераторов "XSS" и Exploit начали свою киберпреступную деятельность именно там. Интересно, что форум «R0» перекочевал в собственный Telegram-канал, но последний в последнее время тоже не очень активен. Тем не менее, создание форума «RootZone» является интересным событием, которое можно рассматривать как рискованное вложение, учитывая судьбу других сообществ в этой категории.
Таблица 6. Январь 2024 года.
Таблица 7. Январь 2024 года.
Умеренно активный РЛКМ – на перепутье
Группа RLCF с ежедневным количеством сообщений в среднем от 20 до 100 в основном состоит из сообществ киберпреступности и кардинга. Тем не менее, умеренно активные RLCF гораздо важнее для экосистемы киберпреступников, чем приходящие в упадок или новые форумы. В эту группу входят форумы, которые часто находятся через дорогу, как это было в прошлом, либо популярные форумы, либо новые форумы, которые находятся на подъеме.Знаменитый универсальный форум «Античат», запущенный в 2002 году, и кардинговый форум «Верифицированный», созданный в 2005 году, оба были в какой-то момент очень модными и привлекали обширное киберпреступное сообщество, но в последнее время их популярность идет на спад. Трудно оценить, вырастут ли они снова или отойдут на второй план. Между тем, новые сообщества, такие как «Антимигалки», «DeepWeb» или «Lozerix», сумели привлечь несколько тысяч пользователей и могут стать важными местами скопления людей в будущем, если они сохранят нынешнюю восходящую тенденцию.
Таблица 8. Январь 2024 года.
Таблица 9. Январь 2024 года.
Высокоактивная RLCF – ядро русскоязычного киберпреступного мира
Наконец, давайте посмотрим на высокоактивные RLCF, похоже, что они в основном состоят из сообществ, специализирующихся на мошенничестве, продаже наркотиков и игровых форумах, позволяющих вести киберпреступную деятельность. Эти группы включают в себя специализированные форумы, предлагающие незаконные финансовые услуги, услуги по поиску, созданию поддельных документов и, конечно же, различные наркотики. Успешные форумы в обеих категориях в основном были запущены в последние десять лет.Напротив, самые заметные форумы категории «Киберпреступность» — старые. «XSS» (первоначальное название DaMaGeLa
и «Exploit» были созданы соответственно в 2004 и 2005 годах, в то время как менее известный, но все же популярный RLCF «BDF Club» был создан в 2017 году.Таким образом, высокоуровневое русскоязычное хакерское сообщество, занимающееся атаками программ-вымогателей, разработкой продвинутого вредоносного ПО и выявлением уязвимостей, в определенной степени сосредоточено вокруг небольшого числа авторитетных форумов.Тем не менее, как мы увидим в главе III, RLCF с менее развитыми сообществами, такими как «LolzTeam» из категории «Другое/Киберпреступность», играют решающую роль в русскоязычной киберпреступной экосистеме, поскольку они собирают огромные сообщества молодых людей, которые знакомятся с хакерством и незаконной деятельностью, например, присоединяясь к командам трейдеров.
Таблица 10. Январь 2024 года.
Таблица 11. Январь 2024 года.
