Отчет Digital Shadows о современных киберпреступных форумах - переведено (1/3)!
Особое внимание уделяется русскоязычным ресурсам, в связи с чем предлагаю также вспомнить арест одного из админов XSS: https://dev.by/news/hacker-from-rechitsa
Прочитать оригинал этого материала на английском можно здесь.
Если бы кто-нибудь мог предсказать будущее в конце 1990-х, когда появились первые киберпреступные форумы, мало кто предположил бы, что такая модель общения сохранится и в новом тысячелетии.
Выживание форумов, на которых общаются киберпреступники, перед лицом новых, более безопасных технологий и постоянного давления со стороны правоохранительных органов не стало сюрпризом для исследователей Digital Shadows. В отчете «The Modern Cybercriminal Forum» мы собрали вместе обширные исследования и «живые» представления о киберпреступном андеграунде.
Результаты исследования включают несколько важных выводов:
Наряду с появлением таких технологий, форумы оказались опасной - и устаревшей - площадкой для встреч злоумышленников. Они нарушают множество законов, в связи с этим часто исчезают незаметно. Многие считают, что форумы Hell и KickAss перестали функционировать именно поэтому (в 2015 и 2019 годах соответственно), хотя это не подтверждено властями. В иных случаях успехи правоохранительных органов освещаются в мировых СМИ. В сентябре 2019 года власти Беларуси арестовали серверы небезызвестного хакерского форума Xakfor. Сообщество киберпреступников хорошо осведомлено о присутствии властей на их форумах и о том, что некоторые из них существуют только потому что ценны для полиции - для сбора разведданных и доказательств.
С учетом того, что киберпреступники проводят множество транзакций и часто общаются на альтернативных платформах, можно ожидать, что потребность в форумах со временем уменьшится. Нельзя отрицать, что киберпреступники все чаще используют другие платформы; Digital Shadows даже написали об этом явлении: «How Cybercriminals are Using Messaging Platforms». Но рост альтернативных технологий не означает эпоху закрытия форумов, которые, кажется, процветают вопреки всему.
Иногда некорректное поведение участников форума также может сыграть свою роль. Тот факт, что русскоязычные форумы намного успешнее, чем их англоязычные собратья, во многом объясняется невероятной дисциплиной русскоязычных платформ. Строгие правила определяют, какой язык можно использовать (брань запрещена, общаемся без грамматических ошибок), в какие разделы будут приниматься новые обсуждения и как следует обращаться с модераторами форума (оспаривать решение модераторов запрещено). Такие правила гарантируют порядок и предотвращают фрагментацию форумов из-за того, что участники вряд ли восстанут против администрации.
Необычайная стойкость форумов в англоязычном киберпреступном сообществе показывает, что злоумышленники по-прежнему видят большую ценность в использовании этих платформ. Создание нового форума требует значительных усилий и ресурсов, которые не гарантируют успеха. Иногда форумы, работа которых была остановлена полицией, даже пытаются вернуться, полагаясь на свой знаменитый бренд, чтобы повысить свой статус в глазах общественности ― ходили слухи о повторном появлении Hell (Hell Reloaded) и Dark0de.
Аппетит к новым форумам заметен даже у русскоязычных киберпреступников. Хотя их форумы и характеризуется удивительной стабильностью и долговечностью, иногда сайты действительно умирают… но не всегда навсегда. В 2018 году ранее существующий форум DamageLab был перезапущен как XSS. Благодаря опытной команде, стоящей за форумом, XSS вырос и стал бросать вызов даже самым известным русскоязычным ресурсам. А в марте 2019 года на форумах киберпреступников распространился новый слух: форум программистов Cult of the Russian Underground (CORU), бездействующий с 2016 года, будет возрожден. В апреле 2019 года CORU открыл регистрацию.
Количество посещений также свидетельствует о том, что популярность форумов остается стабильной. Количество посещений двух популярных англоязычных форумов киберпреступников, Nulled и Raidforums, практически не уменьшилось с апреля 2019 года, согласно сайту показателей посещений SimilarWeb [.] Com. По данным того же сайта, количество посещений Exploit за тот же период увеличилось более чем на 20 000 человек.
Теперь, когда у нас есть несколько примеров известных форумов, каковы их альтернативы? Что делает форум хорошим? Во второй части этой серии блогов мы обсудим то, почему пользователей форума не хотят отходить от модели форума.
Оставайтесь на связи.
Особое внимание уделяется русскоязычным ресурсам, в связи с чем предлагаю также вспомнить арест одного из админов XSS: https://dev.by/news/hacker-from-rechitsa
Прочитать оригинал этого материала на английском можно здесь.
Если бы кто-нибудь мог предсказать будущее в конце 1990-х, когда появились первые киберпреступные форумы, мало кто предположил бы, что такая модель общения сохранится и в новом тысячелетии.
Выживание форумов, на которых общаются киберпреступники, перед лицом новых, более безопасных технологий и постоянного давления со стороны правоохранительных органов не стало сюрпризом для исследователей Digital Shadows. В отчете «The Modern Cybercriminal Forum» мы собрали вместе обширные исследования и «живые» представления о киберпреступном андеграунде.
Результаты исследования включают несколько важных выводов:
- Альтернативные технологии: по мере того, как продолжают появляться новые форумы и увеличиваться количество их участников, пользователи выражают нежелание переходить на другие платформы для своих коммуникационных и торговых потребностей. Они видят недостатки в альтернативных технологиях, несмотря на предполагаемую безопасность и эффективность. Многие злоумышленники обеспокоены безопасностью новых технологий и по-прежнему верят в анонимность и защиту, которые предлагают доверенные форумы.
- Родословная: Многие форумы имеют богатую историю и уважаемую родословную, что очень нравится киберпреступникам. Достопочтенные форумы, как правило, привлекают опытных злоумышленников и служат большим хранилищем знаний.
- Достоверность: используя мессенджеры или торговые площадки, работающие на платформе электронной коммерции Automated Vending Carts (AVC), злоумышленникам сложно определить, с кем они имеют дело. Но системы репутации на форумах и доступная всем история сообщений предоставляют ценные сведения о надежности других "партнеров".
- Системы арбитража и условного депонирования: системы арбитража и условного депонирования форумов обеспечивают честные сделки и блокировку нарушителей. Трудно отрицать привлекательность этой функции, когда один киберпреступник хочет заключить сделку с другим.
- Реклама: форумы не только предлагают пространство для общения и торговли, они также предоставляют пользователям ценные рекламные места с широким охватом пользователей.
- Сообщество: преимущества опытного сообщества ценится участниками форума, которые дают и получают советы и учатся на ошибках друг друга.
История форумов
Начиная с начала 1970-х годов, форумы являются одними из самых ранних и основных технологий интернет-коммуникации. Появление кардингового форума CarderPlanet в первые годы нового тысячелетия закрепило устоявшуюся модель, которой подражают почти все новые ресурсы. Киберпреступники по-прежнему используют форумы для получения советов и обсуждения новейших технологий и разработок. Продавцы обычно предлагают такие товары, как:- доступ к внутренним системам
- аккаунты
- базы данных
- софт
- вредоносное ПО
- данные кредитных карт
- учебники по киберпреступности
Наряду с появлением таких технологий, форумы оказались опасной - и устаревшей - площадкой для встреч злоумышленников. Они нарушают множество законов, в связи с этим часто исчезают незаметно. Многие считают, что форумы Hell и KickAss перестали функционировать именно поэтому (в 2015 и 2019 годах соответственно), хотя это не подтверждено властями. В иных случаях успехи правоохранительных органов освещаются в мировых СМИ. В сентябре 2019 года власти Беларуси арестовали серверы небезызвестного хакерского форума Xakfor. Сообщество киберпреступников хорошо осведомлено о присутствии властей на их форумах и о том, что некоторые из них существуют только потому что ценны для полиции - для сбора разведданных и доказательств.
С учетом того, что киберпреступники проводят множество транзакций и часто общаются на альтернативных платформах, можно ожидать, что потребность в форумах со временем уменьшится. Нельзя отрицать, что киберпреступники все чаще используют другие платформы; Digital Shadows даже написали об этом явлении: «How Cybercriminals are Using Messaging Platforms». Но рост альтернативных технологий не означает эпоху закрытия форумов, которые, кажется, процветают вопреки всему.
Доказательства: почему форумы по-прежнему популярны
Несколько факторов подтверждают идею о том, что форумы остаются с нами надолго. Постоянно появляются новые сайты, количество участников продолжает расти, а пользователи часто выражают нежелание отклоняться от традиционной модели. Появление новых форумов вызвано в основном необходимостью замены вышедших из строя.Долой старье…
Англоязычная сфера киберпреступности в последние годы пережила примечательную нестабильность, когда существующие и только что зарождающиеся форумы постоянно исчезают по тем или иным причинам.
Вмешательство правоохранителей
Арест полицией или службами безопасности владельцев стали причиной прекращения существования большинства ныне не функционирующих форумов. Среди них был известный форум Dark0de, переведенный в автономный режим операцией под руководством ФБР в 2015 году. Dark0de работал с 2007 года и приобрел известность среди англоязычных киберпреступников благодаря обсуждению и продаже на сайте хакерских инструментов, эксплойтов, аккаунтов и рассылке спама. Другой жертвой стал давний форум Infraud. На пике своего развития Infraud оказывал услуги услуг по взлому и мошенничеству операцию, заработав суммарно на полмиллиарда долларов, но в 2018 году форум закрыла международная правоохранительная коалиция.
Неадекватное поведение владельца / пользователя
Другие форумы погибли из-за халатности их владельцев. Например, мы видели сайты, покинутые их администраторами ― 0day являлся известной киберпреступной платформой, запущенной в начале 2014 года. Тем не менее, к концу 2017 года администраторы форума, очевидно, покинули ее. Наши запросы на регистрацию остались без ответа, а с Jabberа техподдержки никто не отвечал. Ходили слухи, что форум больше не работает: администраторы ушли, не выключив свет. На момент написания статьи, URL Tor форума больше не доступен, а клирнет URL исчез несколько лет назад.
Иногда некорректное поведение участников форума также может сыграть свою роль. Тот факт, что русскоязычные форумы намного успешнее, чем их англоязычные собратья, во многом объясняется невероятной дисциплиной русскоязычных платформ. Строгие правила определяют, какой язык можно использовать (брань запрещена, общаемся без грамматических ошибок), в какие разделы будут приниматься новые обсуждения и как следует обращаться с модераторами форума (оспаривать решение модераторов запрещено). Такие правила гарантируют порядок и предотвращают фрагментацию форумов из-за того, что участники вряд ли восстанут против администрации.
Плохое исполнение
Кроме того, есть форумы, которые проваливаются из-за плохой реализации со стороны их создателей. Torigon был запущен тремя злоумышленниками в сентябре 2019 года с явной целью объединить англоязычных и русскоязычных хакеров для обмена вредоносным ПО и эксплойтами на единой платформе. Но форум не смог обеспечить перевод на русский язык для людей, не говорящих по-английски, и не позаботился о продвижении сайта в сообществе. Результат? Отсутствие взаимодействия и неспособность достичь целевого рынка.
Новые форумы
Несмотря на значительную непредсказуемость, гибель англоязычных форумов не является неизбежной. Фактически, эту сцену лучше всего сравнить с игрой в «Ударь крота»: как только один форум исчезает, на его месте появляется другой. В киберпреступном андеграунде аппетит к новым форумам не уменьшается.Необычайная стойкость форумов в англоязычном киберпреступном сообществе показывает, что злоумышленники по-прежнему видят большую ценность в использовании этих платформ. Создание нового форума требует значительных усилий и ресурсов, которые не гарантируют успеха. Иногда форумы, работа которых была остановлена полицией, даже пытаются вернуться, полагаясь на свой знаменитый бренд, чтобы повысить свой статус в глазах общественности ― ходили слухи о повторном появлении Hell (Hell Reloaded) и Dark0de.
Аппетит к новым форумам заметен даже у русскоязычных киберпреступников. Хотя их форумы и характеризуется удивительной стабильностью и долговечностью, иногда сайты действительно умирают… но не всегда навсегда. В 2018 году ранее существующий форум DamageLab был перезапущен как XSS. Благодаря опытной команде, стоящей за форумом, XSS вырос и стал бросать вызов даже самым известным русскоязычным ресурсам. А в марте 2019 года на форумах киберпреступников распространился новый слух: форум программистов Cult of the Russian Underground (CORU), бездействующий с 2016 года, будет возрожден. В апреле 2019 года CORU открыл регистрацию.
Сила в цифрах
Число участников форума и количество сообщений показывают, что популярность постоянно растет, несмотря на появление альтернативных платформ, вроде Telegram.
Torum
Torum был всего лишь маленьким, довольно незначительным игроком до 2018 года. Теперь все изменилось. 2019 год был очень удачным для Torum: за восемь месяцев с февраля по октябрь 2019 года его пользовательская база увеличилась на 639%, поскольку англоговорящие киберпреступники нашли новое место для группировки.
Exploit
Exploit - один из самых известных русскоязычных форумов для киберпреступников. Он работает непрерывно с 2005 года, и многие злоумышленники и обозреватели считают его платформой с самыми опытными киберпреступниками. Возможно, именно благодаря - своей долговечности и репутации, в последние месяцы количество участников Exploit значительно увеличилось. В марте 2018 года на сайте было зарегистрировано 40 390 пользователей. К ноябрю 2019 года их количество составило 47 347, что на 17,2 процента больше по сравнению с уже существовавшими. Фактором, способствовавшим этому, могло быть решение ввести автоматическую регистрацию на английском языке, чтобы облегчить присоединение зарубежных пользователей. Количество сообщений Exploit выросло с 846 020 в марте 2018 года до 1012 575 в ноябре 2019 года.
XSS
XSS (DamageLab): один из первых русскоязычных форумов для киберпреступников. DamageLab закрылся после ареста администратора в 2017 году. Тем не менее, бывший администратор Exploit приобрел бэкап XSS в конце 2018 года и с тех пор превратил форум в процветающее и активное сообщество, что отражается в его растущем числе участников. В период с февраля 2019 года (10 344 члена) по ноябрь 2019 года (19 040 человек) их число увеличилось на 84 процента. И давайте не будем игнорировать количество сообщений, которое выросло со 130 040 до 162 470.
Количество посещений также свидетельствует о том, что популярность форумов остается стабильной. Количество посещений двух популярных англоязычных форумов киберпреступников, Nulled и Raidforums, практически не уменьшилось с апреля 2019 года, согласно сайту показателей посещений SimilarWeb [.] Com. По данным того же сайта, количество посещений Exploit за тот же период увеличилось более чем на 20 000 человек.
Теперь, когда у нас есть несколько примеров известных форумов, каковы их альтернативы? Что делает форум хорошим? Во второй части этой серии блогов мы обсудим то, почему пользователей форума не хотят отходить от модели форума.
Оставайтесь на связи.
