В этом блоге мы рассмотрим текущее состояние услуг Bulletproof Hosting (BPH) на двух крупнейших русскоязычных форумах по киберпреступности: XSS и Exploit. Мы выделим разнообразие этих сервисов и проанализируем мнение о них киберпреступников. Будут представлены подробные профили двух провайдеров BPH: «Альфа», профессионального бизнеса в Москве, и «Бета», нового сервиса, которым управляют трое друзей.
7 мая 2024 года операция «Кронос» завершилась успехом, когда правоохранительные органы деанонимизировали Дмитрия Хорошева, лидера банды вымогателей LockBit . Одновременно несколько компаний, занимающихся кибербезопасностью и разведкой, поделились своими выводами о М. Хорошеве и инфраструктуре LockBit.
Одна примечательная статья была опубликована Chainaанализом, компанией, специализирующейся на анализе блокчейнов. В их отчете были рассмотрены переводы криптовалют из биткойн-кошельков LockBit в кошельки других преступных организаций, выявлены связи между LockBit и подпольными биржами, рынками даркнета и пуленепробиваемыми хостинговыми услугами (BPH) . Тот факт, что LockBit пришлось использовать как минимум трех разных провайдеров BPH, указывает на то, что пуленепробиваемый хостинг является фундаментальной услугой в экосистеме киберпреступников.
Рисунок 1. Санкции международных агентств Дмитрий Хорошев, руководитель LockBit. Источник: Цепной анализ.
BPH — это особый тип хостинга, который позволяет клиентам анонимно арендовать серверы и покупать домены для ведения серой или незаконной деятельности. Киберпреступникам BPH позволяет, например, размещать нелегальные торговые площадки, запускать серверы управления и контроля (C2), распространять вредоносное ПО или спам, проверять уязвимости сети и запускать фишинговые кампании. Спонсируемые государством организации могут также использовать BPH для размещения веб-сайтов с дезинформацией, в то время как экстремистские организации используют их для продвижения своей идеологии, а хактивисты могут использовать их для запуска DDoS-атак .
LockBit использовал сервисы BPH для размещения своего блога-жертвы и помощи филиалам в краже данных из скомпрометированных компаний. Филиалы группы, как и другие злоумышленники, также используют BPH для сканирования уязвимостей или скрывают свой реальный IP-адрес за рядом пользовательских VPN и прокси-серверов. Без этих сервисов такая огромная киберпреступная организация, как LockBit, вероятно, не могла бы существовать. Как поясняется в замечательной презентации Black Hat от 2017 года, BPH являются «основным фактором» киберпреступности .
Таблица 1. Перезагрузка RBN — усиление сигналов из-под земли — Дэвид Родригес, Дия Махджуб и Джейсон Пассуотерс. Источник: YouTube – Черная шляпа.
Если вы наберете «Пуленепробиваемый хостинг» в поисковой системе, вы, несомненно, найдете множество веб-сайтов «BPH» и «Оффшорный хостинг», предлагающих регистрацию домена, виртуальные частные серверы или выделенные серверы. Эти провайдеры принимают к оплате криптовалюты, обещают полностью игнорировать жалобы на авторские права (DMCA) и заявляют о сохранении анонимности клиентов, не реализуя политику «Знай своего клиента» (KYC). Фактически, «BPH» часто путают с «оффшорным» хостингом и включают в себя широкий спектр услуг, которые не всегда являются незаконными. Законодательство варьируется от страны к стране и используется службами хостинга. Как объясняет сам один из таких «BPH»:
«К каждому проекту нужно подходить индивидуально. Есть проекты, которые запрещены в одном месте, но разрешены в другом. Если у вас есть сомнения, обращайтесь в онлайн-чат, наши специалисты вам помогут».
Таблица 2. Предпочтительные места размещения преступников по странам и видам деятельности, на основе отзывов подпольных субъектов о хостинге
Примечание: [Y]es: актеры подполья упоминают это место; [Н]о: Актеры подполья активно предлагают не использовать эту локацию; [M]aybe: Подпольные актеры иногда упоминают это место вместе с ограниченными факторами, такими как целевой регион. Источник: Trend Micro .
Широкое использование термина «пуленепробиваемый» хостинговыми службами часто дает ложное ощущение универсальности, предполагая, что их серверы могут противостоять любому типу жалоб, поскольку они находятся в секретном бункере. Сами киберпреступники иногда полагают, что если продавец рекламирует услугу BPH, то серверы должны находиться в свободных от закона зонах вроде Приднестровья или Донбасса.
Хотя такие BPH существуют, они довольно дороги и обычно не долговечны. Известным примером стал «КиберБункер», BPH, базирующийся в бывшем бункере времен Холодной войны в Нидерландах, а затем в Германии, который был закрыт полицией в 2019 году . Эти передовые и надежные услуги хостинга, расположенные в частных домах или необычных местах, встречаются редко. Большинство BPH находятся в обычных центрах обработки данных, но часто скрываются за подставными компаниями, чтобы оградить своих владельцев от ненужного внимания.
Рисунок 2. Вход в Кибербункер, BPH, который располагался в бывшем бункере времен холодной войны в Нидерландах, а затем в Германии.
Хотя относительно легко найти хостинг-провайдеров, которые игнорируют незначительные жалобы на нарушение авторских прав, разрешают размещение сайтов с азартными играми или порносайтами и игнорируют сканирование Интернета, ситуация с более явно вредоносными действиями становится сложнее. Даже провайдерам BPH следует проявлять осторожность в отношении того, что происходит в их сети, чтобы не допустить попадания в черный список всех диапазонов блокируемых IP-адресов таких компаний, как SpamHaus, или привлечения внимания правоохранительных органов.
Таким образом, большинство «пуленепробиваемых» или «оффшорных» хостинг-провайдеров, которых легко найти, не будут открыто размещать блоги жертв программ-вымогателей или терпеть распространение вредоносных программ. Этот вид деятельности разрешен в разной степени и при определенных условиях провайдерами BPH, присутствующими на форумах и торговых площадках киберпреступников.
В случае с LockBit ее лидер и многие ее филиалы родом из бывшего СССР. Они часто активны на русскоязычных форумах по киберпреступности, таких как XSS, Exploit или RAMP. Вполне вероятно, что на этих форумах LockBit и другие русскоязычные злоумышленники ищут поставщиков BPH.
Согласно статье, написанной Intel471 , территория бывшего СССР является благодатной почвой для сервисов BPH, наиболее известными из них являются «yalishanda», «ccweb» или «whost», он же «Abdallah». До того, как его арестовала украинская полиция в 2019 году, «хост», он же М. Михаил Рытиков, среди прочего хостил Jabber-серверы форума Exploit . Недавно другие печально известные провайдеры BPH отключились, возможно, потому, что на них повлияло вторжение России в Украину в 2022 году. Одним из них является BPH «FLOWSPEC», известный тем, что обеспечивает защиту от DDoS-атак для крупных русскоязычных форумов по киберпреступности . Другой пример — «MikaSweet7», который предположительно был способен проводить DDoS-атаки, достаточно мощные, чтобы вывести из строя серверы CloudFlare .
Запись вмешательства СБУ в 2019 году в отношении BPH, который, вероятно, принадлежал М. Михаилу Рытикову по прозвищу «Чуть», «Абдалла».
Понимание того, как BPH функционирует в русскоязычном сегменте киберпреступного подполья, на мой взгляд, имеет решающее значение для выявления инфраструктуры этих хостинг-провайдеров и, таким образом, ограничения возможностей киберпреступников эффективно использовать пуленепробиваемый хостинг.
В сегодняшнем блоге я хотел бы изучить текущую ситуацию с сервисами BPH, действующими на двух крупных русскоязычных форумах по киберпреступности: XSS и Exploit. Что еще более важно, я хочу подчеркнуть существенное разнообразие услуг BPH и проанализировать, что сами киберпреступники думают об этих хостинг-провайдерах. Хотя BPH определенно является «основным фактором киберпреступности», он не является панацеей.
В заключение я хотел бы подробно представить профили двух служб BPH, которые мне удалось тщательно изучить. Они являются прекрасной иллюстрацией того, насколько разными могут быть услуги по BPH. Первый, который я назову BPH «Альфа», представляет собой высокопрофессиональный бизнес, в московском офисе которого работает не менее десятка человек. Он активно присутствует на форумах по киберпреступности уже около десяти лет под разными никами и скрывается за несколькими подставными компаниями.
Второй BPH, который я назвал «Бета», — это относительно новый хостинг, которым управляют трое друзей из российского города. Невероятно, но супруга одного из соратников открыто рекламирует этот BPH в Интернете.
Этот последний пункт убедил меня анонимизировать свои выводы, поскольку ошибка с моей стороны может иметь серьезные последствия для людей, которые, как я считаю, стоят за этим BPH. Оставим деанонимизацию правоохранительным органам.
Когда в прошлом году я начал изучать присутствие провайдеров BPH на RLCF, я заметил, что наибольшая концентрация пуленепробиваемых хостингов наблюдалась на двух форумах: XSS и Exploit. Поэтому в этом году я решил сосредоточиться именно на этих двух сообществах и подробно проанализировать BPH , которые сейчас там коммерциализируются . Имейте в виду, что то, что рассматривается в этой статье, является лишь верхушкой айсберга, многие другие BPH, такие как, например, «кюн», «эксерверы» или «ньяла», упоминаются участниками угроз на форумах по киберпреступности, но не будут рассмотрены. в этой статье.
В июне 2024 года 40 сервисов XSS и Exploit заявили о продаже пуленепробиваемого хостинга. Самая старая из этих организаций действует с 2008 года, а самая новая появилась в начале 2024 года. По сравнению с прошлым годом примечательно, что такие сервисы BPH, как «SollHost» и «QuaHost», либо прекратили свою деятельность, либо провели ребрендинг.
За последние два года появилось не менее 17 новых услуг по BPH, что подчеркивает высокую нестабильность и постоянное обновление этих услуг. Однако ветераны-провайдеры BPH, такие как «ccweb», «grizlii», «yalishanda» и «tunastock», остаются активными и в целом пользуются положительной репутацией в русскоязычном киберпреступном сообществе.
Более внимательное изучение некоторых предложений и инфраструктур BPH показывает, что некоторые из них принадлежат одной и той же организации, работающей под разными брендами и названиями BPH. Таким образом, фактическое количество уникальных поставщиков услуг BPH немного меньше выявленных 40. Кроме того, несколько BPH решили сотрудничать друг с другом для повышения качества своих услуг.
Таблица 3. Источник: CybercrimeDiaries.com
Как показано в моей предыдущей статье , известность и специализация XSS и Exploit на киберпреступности позволяют этим форумам выделяться среди других русскоязычных киберпреступных сообществ и привлекать субъектов угроз со всего мира. Среди 40 злоумышленников, продающих услуги BPH на этих двух форумах, 13 не являются носителями русского языка и в основном общаются на английском языке. Некоторые из них из Нидерландов, Швейцарии и Румынии. Интересно, что все ветераны BPH относятся к русскоязычным угрозам, а большинство появившихся в этом году новичков вроде «BulletHost», «DarkSecure», «AnonVM» и «суперстепени» таковыми не являются.
Таблица 4. Источник: CybercrimeDiaries.com
Когда дело доходит до типа услуг, которые идентифицированные поставщики BPH пытаются продать, логично, что большинство из них рекламируют либо виртуальные, либо выделенные серверы. Некоторые второстепенные службы продают только виртуальные серверы, часто потому, что они перепродают услуги, приобретенные у белых или серых хостинг-провайдеров.
Таблица 5. Источник: CybercrimeDiaries.com
«Пуленепробиваемые домены» также относятся к числу наиболее распространенных и востребованных услуг. Обычно провайдеры BPH перепродают домены, которые они приобретают у таких компаний, как «nicenic», «shinjiru», «r01», «flokinet» или «webnic». Владельцы регистрации китайских доменов пользуются особой популярностью у злоумышленников на XSS и Exploit, поскольку они медленно реагируют на жалобы о злоупотреблениях.
Рисунок 3. Злоумышленник Loadbaks заявил на сайте Exploit, что BPH yalishanda покупает домены у Webnic.
Другая часть бизнеса BPH — это продажа сервисов обфускации, таких как, например, VPN, FastFlux и прокси. Резидентные прокси обычно пользуются большим спросом и продаются многочисленными специализированными сервисами, провайдеры BPH явно не лидируют на этом фронте. Тем не менее, технически продвинутые сервисы, такие как FastFlux, которые заключаются в связывании пула IP-адресов с одним доменным именем и частой ротации этих IP-адресов путем изменения записей системы доменных имен (DNS), связанных с этим доменным именем, обычно рекламируются только наиболее выдающийся BPH.
В конце концов, меньшинство BPH открыто признает, что они обладают статусом локального интернет-реестра (LIR), который позволяет им приобретать, а затем сдавать в аренду своим клиентам целые блоки IP-адресов. Этот факт особенно интересен, поскольку для того, чтобы стать LIR, необходимо членство в Региональном Интернет-реестре (RIR), а это означает, что эти BPH оставили информацию, которую можно использовать для их поиска и изучения.
Рисунок 4. Пример FastFlux с архитектурой двойного потока. Источник: Unit42 — PaloAlto Networks .
Дополнительной иллюстрацией разнообразия и специфики выявленных сервисов BPH являются «условия обслуживания», которые они прямо упоминают в своих коммерческих темах. Обратите внимание: если BPH прямо не упоминает правило, это не обязательно означает, что данная деятельность разрешена. Почти половина всех BPH четко заявляют, что они не потерпят размещения любого контента, связанного с детской порнографией, терроризмом, экстремизмом или любой деятельностью, направленной против Сообщества Независимых Государств (СНГ) и России. Этот набор правил очень распространен и призван защитить владельцев BPH, проживающих в странах бывшего СССР, путем ограничения их юридической ответственности, если какой-либо тип этого контента будет размещен в их сети (предположительно) без их ведома.
Игнорирование включения SpamHaus в черный список, очевидно, является проблемой для значительного количества BPH, так же как и нацеливание на финансовые и правительственные организации. SpamHaus — компания, предоставляющая информацию о репутации IP-адресов, доменов и ASN, связанных не только со спамом, но также с фишингом, вредоносным ПО и программами-вымогателями. Это еще раз показывает, что не все BPH согласны внести свою сеть в черный список.
Напротив, условия обслуживания, явно разрешающие определенные виды деятельности и контент, дают хорошее представление о том, как киберпреступники могут использовать эти сервисы.
Таблица 6. Источник: CybercrimeDiaries.com
Анализ всего этого контента помогает построить классификацию 40 BPH, которые мы здесь изучаем, однако для четкой категоризации каждого BPH не хватает одного — анализа отзывов пользователей.
Когда я начал изучать отзывы злоумышленников о BPH в коммерческих и арбитражных темах XSS и Exploit, я был удивлен непониманием некоторых злоумышленников того, что они покупают. Действительно, значительное количество негативных комментариев было связано с жалобами на то, что BPH не является «настоящей» BPH. Эти споры часто возникали из-за того, что злоумышленники не читали Условия обслуживания и становились жертвами мифа о том, что BPH может игнорировать любые виды злоупотреблений. С другой стороны, в некоторых случаях злоумышленники открывали арбитражные разбирательства против BPH, которые не были такими надежными, как они утверждали. В целом, отрицательные отзывы было интереснее всего читать, поскольку они часто раскрывали информацию о реальных ограничениях сервиса и его сетевой инфраструктуры.
Даже когда BPH выполнила обещанное, одна из самых распространенных жалоб была связана с плохой поддержкой клиентов или трудностями со связью с продавцом. Связь между поставщиками BPH и субъектами угроз не всегда является плавной. Только 24 BPH имеют коммерческий сайт, а остальные полагаются на такие мессенджеры, как Telegram, Tox или Jabber. Кроме того, наблюдались многочисленные жалобы на стабильность серверов. Проблемы такого типа могут быть особенно проблематичными для злоумышленников, которым нужны серверы с длительным временем безотказной работы для осуществления вредоносной деятельности.
Положительные отзывы, за небольшим исключением, преобладают. Фейковые комментарии, оставленные самими BPH под разными никами, довольно распространены, но не составляют большую часть отзывов для наиболее авторитетных сервисов. Иногда злоумышленники, участвующие в известных вредоносных схемах, таких как разработка и распространение вредоносных программ-похитителей информации, также оставляют отзывы, которые помогают определить, на каком BPH потенциально могут размещаться их серверные части.
Таблица 7. Выдержка из статистики обзоров ДГПЖ. Результаты анонимизированы, чтобы избежать рекламы какой-либо из изучаемых услуг. Источник: CybercrimeDiaries.com.
Сочетание этих обзоров с типами услуг и условиями обслуживания изучаемого BPH помогает разделить их на 3 категории:
Таблица 8. Источник: CybercrimeDiaries.com
Как мы видели, не все службы BPH одинаковы и не всегда оправдывают ожидания субъектов угроз. Некоторые ограничения серверов BPH включают отсутствие стабильности, низкую надежность или отсутствие резервных копий, высокую стоимость и занесение их IP-адресов в черный список. Чтобы обойти эти проблемы, злоумышленники могут реализовать несколько решений. Одним из эффективных методов является маскировка легитимных серверов за прокси-серверами или использование сетей FastFlux.
Рисунок 5. Ялишанда BPH объясняет, что его серверы не являются пуленепробиваемыми без запутывания FastFlux. Машинный перевод.
Проблема с FastFlux заключается в том, что он остается дорогостоящим методом сокрытия вредоносной активности, а IP-адреса, связанные с BPH и FastFlux, по-прежнему можно идентифицировать и внести в черный список. Среди семи провайдеров BPH, которые в настоящее время предлагают услуги FastFlux, цены за один домен варьируются от более 50 до более 400 долларов в месяц.
Таблица 9. Результаты были анонимизированы, чтобы избежать рекламы наблюдаемой BPH. Источник: CybercrimeDiaries.com.
Некоторые авторитетные представители киберпреступного сообщества, такие как злоумышленник «Братва», заявили, что использование BPH не всегда необходимо . Фактически, иногда это может привлечь нежелательное внимание и снизить вероятность успеха вредоносных операций. Вместо этого сокрытие вредоносной полезной нагрузки может оказаться более эффективным и экономичным решением, чем покупка дорогих серверов BPH. Использование злоумышленниками обычного или «серого» хостинга для размещения своих блогов с программами-вымогателями Onion или веб-сайтов панелей управления информационными ворами также показывает, что BPH не всегда необходим, если IP-адреса веб-сайта должным образом запутаны.
Рисунок 6. Злоумышленник и модератор XSS «bratva» объясняет, что он избегает использования BPH и предпочитает вместо этого использовать услуги белого хостинга. Машинный перевод.
Та же логика предположительно применима и к доменам. Регистрация их у надежных поставщиков помогает обойти решения безопасности, основанные на репутации, и тем самым повышает вероятность успеха вредоносных кампаний.
Рисунок 7. Злоумышленник «menekees» утверждает на XSS, что домены BPH не всегда являются лучшим решением.
Взлом белых хостингов — известная тактика среди киберпреступников. Например, злоумышленник «Ужасный пират Робертс» объясняет, что его серверы часто подвергаются сканированию и брутфорс-атакам со стороны белых хостингов. На форумах киберпреступников довольно легко купить украденные или анонимно зарегистрированные аккаунты AWS, OVH и других популярных хостингов.
Рисунок 8. Злоумышленник «Ужасный пират Робертс» объясняет на XSS, что использование BPH для сканирования может принести меньшие результаты, чем использование белых хостинг-провайдеров.
Теперь, когда у нас есть общая картина ситуации с BPH по XSS и Exploit, а также несколько развеяны мифы, окружающие эти сервисы киберпреступников, давайте более подробно рассмотрим двух конкретных поставщиков BPH.
Первый БПХ, о котором мне хотелось бы с вами поговорить, — это ветеран русскоязычного киберпреступного подполья. Этот BPH уровня 3 начал свою незаконную деятельность в период с 2010 по 2020 год, и контролирующая его организация в настоящее время управляет не менее чем четырьмя различными BPH на XSS и Exploit. Злоумышленники, приобретающие услуги у этих четырех BPH, скорее всего, не подозревают, что имеют дело с одной организацией. Решение владельцев «БПХ Альфа» разделить свою деятельность на четыре бренда весьма интригует и демонстрирует продуманную коммерческую стратегию. Он оказался очень эффективным, помогая BPH Alpha за последние годы добиться оборота более 10 миллионов долларов.
На другой стороне медали, за этими четырьмя BPH, стоит хорошо структурированный легальный хостинговый бизнес, зарегистрированный в России, чьи IP-адреса и AS зарегистрированы на компании в Европе и Китае. Эта российская компания имеет офис в Москве, и в ней работают не менее десятка ИТ-специалистов, вспомогательного персонала, графических дизайнеров и торгового персонала. Хостинговая компания имеет давние партнерские отношения с ведущими дата-центрами и хостинг-провайдерами Москвы. На ее сайте рекламируются вполне легальные услуги, предоставляется информация о компании и ее инфраструктуре, освещаются мероприятия, на которых присутствовали представители компании.
Несколько ошибок операционной безопасности, допущенных руководством BPH Alpha на ранних этапах развития этого предприятия, позволили собрать пазл воедино.
Таблица 10. Источник: CybercrimeDiaries.com
Интересно, что бизнес Alpha в сфере BPH был гораздо более стабильным, чем у законных хостинговых компаний, принадлежащих этой организации. С момента начала деятельности BPH Alpha были созданы четыре хостинговые компании, которые впоследствии были объявлены банкротами. Этот цикл банкротств предполагает, что доходы, полученные от четырех BPH, являются единственным значительным источником дохода для «Альфы». Однако его владельцы не могут включать эти незаконные доходы в балансы своих легальных компаний, вынуждая их периодически ротировать компании, закрывая старые и регистрируя новые.
Таблица 11. Источник: CybercrimeDiaries.com.
Наблюдение за более чем 5000 IP-адресами, принадлежащими Alpha, также намекает на то, что сервис в основном используется в киберпреступных целях. У компании есть несколько блоков AS и IPs, предназначенных для конкретной вредоносной деятельности, чтобы избежать занесения в черный список всей сети.
Таблица 12. Источник: CybercrimeDiaries.com/Greynoise.io.
Когда я искал информацию об IP-адресах «Альфы», я наткнулся на отчет, анализирующий операцию APT. Согласно этому отчету, один из IP-адресов, принадлежащих BPH Alpha, использовался в качестве сервера C2, предположительно контролируемого группой APT. Это подчеркивает близость и взаимосвязь, которые иногда существуют между миром киберпреступности и спонсируемыми государством вредоносными кампаниями.
Таблица 13. Источник: CybercrimeDiaries.com.
На другой стороне спектра BPH существует более скромное предприятие, которым управляют трое друзей из российского города. Их путь более хаотичен и оппортунистичен, что отражает их постоянную готовность адаптироваться к новым тенденциям и выгодным возможностям. BPH Beta не имеет собственных блоков AS или IP, а арендует серверы у легальных и серых хостингов. Владельцы также рекламируют создание офшоров на форумах киберпреступников.
Таблица 14. Источник: CybercrimeDiaries.com.
Судя по всему, преступная деятельность владельцев «БПХ Бета» началась в сфере финансовых махинаций. Их решение начать обмен криптовалюты и продавать платежные услуги без KYC подпольным магазинам еще раз демонстрирует их стремление извлечь выгоду из новых популярных тенденций. Такое поведение продолжилось, когда трое друзей решили запустить службу BPH в 2020-х годах, рекламируя ее на тех же форумах, которые помогли им получить прибыль от своей ранней киберпреступной деятельности. Невероятно, но один из супругов учредителя открыто рекламирует эту услугу в Интернете, что может свидетельствовать об отсутствии проницательности и понимания противоправного характера деятельности, связанной с администрированием BPH.
Таблица 15. Источник: CybercrimeDiaries.com
Надеюсь, вам понравился этот короткий экскурс в мир надежного хостинга и вы узнали что-то новое. Ваши отзывы приветствуются в Twitter/X.
моей компании (OWN-CERT).
Мэтт Бёрджесс, «Предполагаемый вдохновитель программы-вымогателя LockBit установлен», Wired , 7 мая 2024 г., .
«Санкции международных агентств к Дмитрию Хорошеву, лидеру LockBit», 7 мая 2024 г., .
Оглавление
Управляющее резюме
- В настоящее время 40 сервисов BPH активны на XSS и Exploit. За последние два года появилось не менее 17 новых услуг по BPH, но на рынке по-прежнему доминируют старые, заслуживающие доверия услуги.
- Хотя все они используют термин «пуленепробиваемый хостинг» в своих коммерческих темах, эти хостинг-провайдеры сильно отличаются друг от друга. Основные различия заключаются в типе предлагаемых ими услуг и ограничениях использования (ToS), аппаратном обеспечении, ценах, их инфраструктуре и репутации.
- Мнения участников угроз о провайдерах BPH лучше преуменьшают их реальные возможности и показывают, что они не являются панацеей. Основными проблемами являются стабильность, качество поддержки и внесение в черный список служб безопасности, основанных на репутации.
- Чтобы скрыть свою личность, злоумышленники за услугами BPH часто создают подставные компании или находят подставных лиц, желающих зарегистрировать компании под своим собственным именем.
- Наблюдаемые услуги по BPH варьируются от высокоорганизованных и профессиональных организаций, в которых работают десятки людей, до оппортунистических предприятий, управляемых любителями.
Почему нас должны волновать BPH и какова их роль в экосистеме киберпреступников?
7 мая 2024 года операция «Кронос» завершилась успехом, когда правоохранительные органы деанонимизировали Дмитрия Хорошева, лидера банды вымогателей LockBit . Одновременно несколько компаний, занимающихся кибербезопасностью и разведкой, поделились своими выводами о М. Хорошеве и инфраструктуре LockBit.
Одна примечательная статья была опубликована Chainaанализом, компанией, специализирующейся на анализе блокчейнов. В их отчете были рассмотрены переводы криптовалют из биткойн-кошельков LockBit в кошельки других преступных организаций, выявлены связи между LockBit и подпольными биржами, рынками даркнета и пуленепробиваемыми хостинговыми услугами (BPH) . Тот факт, что LockBit пришлось использовать как минимум трех разных провайдеров BPH, указывает на то, что пуленепробиваемый хостинг является фундаментальной услугой в экосистеме киберпреступников.
Рисунок 1. Санкции международных агентств Дмитрий Хорошев, руководитель LockBit. Источник: Цепной анализ.
BPH — это особый тип хостинга, который позволяет клиентам анонимно арендовать серверы и покупать домены для ведения серой или незаконной деятельности. Киберпреступникам BPH позволяет, например, размещать нелегальные торговые площадки, запускать серверы управления и контроля (C2), распространять вредоносное ПО или спам, проверять уязвимости сети и запускать фишинговые кампании. Спонсируемые государством организации могут также использовать BPH для размещения веб-сайтов с дезинформацией, в то время как экстремистские организации используют их для продвижения своей идеологии, а хактивисты могут использовать их для запуска DDoS-атак .
LockBit использовал сервисы BPH для размещения своего блога-жертвы и помощи филиалам в краже данных из скомпрометированных компаний. Филиалы группы, как и другие злоумышленники, также используют BPH для сканирования уязвимостей или скрывают свой реальный IP-адрес за рядом пользовательских VPN и прокси-серверов. Без этих сервисов такая огромная киберпреступная организация, как LockBit, вероятно, не могла бы существовать. Как поясняется в замечательной презентации Black Hat от 2017 года, BPH являются «основным фактором» киберпреступности .
Таблица 1. Перезагрузка RBN — усиление сигналов из-под земли — Дэвид Родригес, Дия Махджуб и Джейсон Пассуотерс. Источник: YouTube – Черная шляпа.
Если вы наберете «Пуленепробиваемый хостинг» в поисковой системе, вы, несомненно, найдете множество веб-сайтов «BPH» и «Оффшорный хостинг», предлагающих регистрацию домена, виртуальные частные серверы или выделенные серверы. Эти провайдеры принимают к оплате криптовалюты, обещают полностью игнорировать жалобы на авторские права (DMCA) и заявляют о сохранении анонимности клиентов, не реализуя политику «Знай своего клиента» (KYC). Фактически, «BPH» часто путают с «оффшорным» хостингом и включают в себя широкий спектр услуг, которые не всегда являются незаконными. Законодательство варьируется от страны к стране и используется службами хостинга. Как объясняет сам один из таких «BPH»:
«К каждому проекту нужно подходить индивидуально. Есть проекты, которые запрещены в одном месте, но разрешены в другом. Если у вас есть сомнения, обращайтесь в онлайн-чат, наши специалисты вам помогут».
Таблица 2. Предпочтительные места размещения преступников по странам и видам деятельности, на основе отзывов подпольных субъектов о хостинге
Примечание: [Y]es: актеры подполья упоминают это место; [Н]о: Актеры подполья активно предлагают не использовать эту локацию; [M]aybe: Подпольные актеры иногда упоминают это место вместе с ограниченными факторами, такими как целевой регион. Источник: Trend Micro .
Широкое использование термина «пуленепробиваемый» хостинговыми службами часто дает ложное ощущение универсальности, предполагая, что их серверы могут противостоять любому типу жалоб, поскольку они находятся в секретном бункере. Сами киберпреступники иногда полагают, что если продавец рекламирует услугу BPH, то серверы должны находиться в свободных от закона зонах вроде Приднестровья или Донбасса.
Хотя такие BPH существуют, они довольно дороги и обычно не долговечны. Известным примером стал «КиберБункер», BPH, базирующийся в бывшем бункере времен Холодной войны в Нидерландах, а затем в Германии, который был закрыт полицией в 2019 году . Эти передовые и надежные услуги хостинга, расположенные в частных домах или необычных местах, встречаются редко. Большинство BPH находятся в обычных центрах обработки данных, но часто скрываются за подставными компаниями, чтобы оградить своих владельцев от ненужного внимания.
Рисунок 2. Вход в Кибербункер, BPH, который располагался в бывшем бункере времен холодной войны в Нидерландах, а затем в Германии.
Хотя относительно легко найти хостинг-провайдеров, которые игнорируют незначительные жалобы на нарушение авторских прав, разрешают размещение сайтов с азартными играми или порносайтами и игнорируют сканирование Интернета, ситуация с более явно вредоносными действиями становится сложнее. Даже провайдерам BPH следует проявлять осторожность в отношении того, что происходит в их сети, чтобы не допустить попадания в черный список всех диапазонов блокируемых IP-адресов таких компаний, как SpamHaus, или привлечения внимания правоохранительных органов.
Таким образом, большинство «пуленепробиваемых» или «оффшорных» хостинг-провайдеров, которых легко найти, не будут открыто размещать блоги жертв программ-вымогателей или терпеть распространение вредоносных программ. Этот вид деятельности разрешен в разной степени и при определенных условиях провайдерами BPH, присутствующими на форумах и торговых площадках киберпреступников.
В случае с LockBit ее лидер и многие ее филиалы родом из бывшего СССР. Они часто активны на русскоязычных форумах по киберпреступности, таких как XSS, Exploit или RAMP. Вполне вероятно, что на этих форумах LockBit и другие русскоязычные злоумышленники ищут поставщиков BPH.
Согласно статье, написанной Intel471 , территория бывшего СССР является благодатной почвой для сервисов BPH, наиболее известными из них являются «yalishanda», «ccweb» или «whost», он же «Abdallah». До того, как его арестовала украинская полиция в 2019 году, «хост», он же М. Михаил Рытиков, среди прочего хостил Jabber-серверы форума Exploit . Недавно другие печально известные провайдеры BPH отключились, возможно, потому, что на них повлияло вторжение России в Украину в 2022 году. Одним из них является BPH «FLOWSPEC», известный тем, что обеспечивает защиту от DDoS-атак для крупных русскоязычных форумов по киберпреступности . Другой пример — «MikaSweet7», который предположительно был способен проводить DDoS-атаки, достаточно мощные, чтобы вывести из строя серверы CloudFlare .
Запись вмешательства СБУ в 2019 году в отношении BPH, который, вероятно, принадлежал М. Михаилу Рытикову по прозвищу «Чуть», «Абдалла».
Понимание того, как BPH функционирует в русскоязычном сегменте киберпреступного подполья, на мой взгляд, имеет решающее значение для выявления инфраструктуры этих хостинг-провайдеров и, таким образом, ограничения возможностей киберпреступников эффективно использовать пуленепробиваемый хостинг.
В сегодняшнем блоге я хотел бы изучить текущую ситуацию с сервисами BPH, действующими на двух крупных русскоязычных форумах по киберпреступности: XSS и Exploit. Что еще более важно, я хочу подчеркнуть существенное разнообразие услуг BPH и проанализировать, что сами киберпреступники думают об этих хостинг-провайдерах. Хотя BPH определенно является «основным фактором киберпреступности», он не является панацеей.
В заключение я хотел бы подробно представить профили двух служб BPH, которые мне удалось тщательно изучить. Они являются прекрасной иллюстрацией того, насколько разными могут быть услуги по BPH. Первый, который я назову BPH «Альфа», представляет собой высокопрофессиональный бизнес, в московском офисе которого работает не менее десятка человек. Он активно присутствует на форумах по киберпреступности уже около десяти лет под разными никами и скрывается за несколькими подставными компаниями.
Второй BPH, который я назвал «Бета», — это относительно новый хостинг, которым управляют трое друзей из российского города. Невероятно, но супруга одного из соратников открыто рекламирует этот BPH в Интернете.
Этот последний пункт убедил меня анонимизировать свои выводы, поскольку ошибка с моей стороны может иметь серьезные последствия для людей, которые, как я считаю, стоят за этим BPH. Оставим деанонимизацию правоохранительным органам.
I) 2024 BPH Landscape — 40 оттенков BPH на XSS и Exploit.
Когда в прошлом году я начал изучать присутствие провайдеров BPH на RLCF, я заметил, что наибольшая концентрация пуленепробиваемых хостингов наблюдалась на двух форумах: XSS и Exploit. Поэтому в этом году я решил сосредоточиться именно на этих двух сообществах и подробно проанализировать BPH , которые сейчас там коммерциализируются . Имейте в виду, что то, что рассматривается в этой статье, является лишь верхушкой айсберга, многие другие BPH, такие как, например, «кюн», «эксерверы» или «ньяла», упоминаются участниками угроз на форумах по киберпреступности, но не будут рассмотрены. в этой статье.
А) Стойкий ветеран BPH и многочисленные, довольно эфемерные, новички.
В июне 2024 года 40 сервисов XSS и Exploit заявили о продаже пуленепробиваемого хостинга. Самая старая из этих организаций действует с 2008 года, а самая новая появилась в начале 2024 года. По сравнению с прошлым годом примечательно, что такие сервисы BPH, как «SollHost» и «QuaHost», либо прекратили свою деятельность, либо провели ребрендинг.
За последние два года появилось не менее 17 новых услуг по BPH, что подчеркивает высокую нестабильность и постоянное обновление этих услуг. Однако ветераны-провайдеры BPH, такие как «ccweb», «grizlii», «yalishanda» и «tunastock», остаются активными и в целом пользуются положительной репутацией в русскоязычном киберпреступном сообществе.
Более внимательное изучение некоторых предложений и инфраструктур BPH показывает, что некоторые из них принадлежат одной и той же организации, работающей под разными брендами и названиями BPH. Таким образом, фактическое количество уникальных поставщиков услуг BPH немного меньше выявленных 40. Кроме того, несколько BPH решили сотрудничать друг с другом для повышения качества своих услуг.
Таблица 3. Источник: CybercrimeDiaries.com
Как показано в моей предыдущей статье , известность и специализация XSS и Exploit на киберпреступности позволяют этим форумам выделяться среди других русскоязычных киберпреступных сообществ и привлекать субъектов угроз со всего мира. Среди 40 злоумышленников, продающих услуги BPH на этих двух форумах, 13 не являются носителями русского языка и в основном общаются на английском языке. Некоторые из них из Нидерландов, Швейцарии и Румынии. Интересно, что все ветераны BPH относятся к русскоязычным угрозам, а большинство появившихся в этом году новичков вроде «BulletHost», «DarkSecure», «AnonVM» и «суперстепени» таковыми не являются.
Таблица 4. Источник: CybercrimeDiaries.com
Б) 40 BPH – 40 различных предложений и наборов правил.
Когда дело доходит до типа услуг, которые идентифицированные поставщики BPH пытаются продать, логично, что большинство из них рекламируют либо виртуальные, либо выделенные серверы. Некоторые второстепенные службы продают только виртуальные серверы, часто потому, что они перепродают услуги, приобретенные у белых или серых хостинг-провайдеров.
Таблица 5. Источник: CybercrimeDiaries.com
Post automatically merged:
«Пуленепробиваемые домены» также относятся к числу наиболее распространенных и востребованных услуг. Обычно провайдеры BPH перепродают домены, которые они приобретают у таких компаний, как «nicenic», «shinjiru», «r01», «flokinet» или «webnic». Владельцы регистрации китайских доменов пользуются особой популярностью у злоумышленников на XSS и Exploit, поскольку они медленно реагируют на жалобы о злоупотреблениях.
Рисунок 3. Злоумышленник Loadbaks заявил на сайте Exploit, что BPH yalishanda покупает домены у Webnic.
Другая часть бизнеса BPH — это продажа сервисов обфускации, таких как, например, VPN, FastFlux и прокси. Резидентные прокси обычно пользуются большим спросом и продаются многочисленными специализированными сервисами, провайдеры BPH явно не лидируют на этом фронте. Тем не менее, технически продвинутые сервисы, такие как FastFlux, которые заключаются в связывании пула IP-адресов с одним доменным именем и частой ротации этих IP-адресов путем изменения записей системы доменных имен (DNS), связанных с этим доменным именем, обычно рекламируются только наиболее выдающийся BPH.
В конце концов, меньшинство BPH открыто признает, что они обладают статусом локального интернет-реестра (LIR), который позволяет им приобретать, а затем сдавать в аренду своим клиентам целые блоки IP-адресов. Этот факт особенно интересен, поскольку для того, чтобы стать LIR, необходимо членство в Региональном Интернет-реестре (RIR), а это означает, что эти BPH оставили информацию, которую можно использовать для их поиска и изучения.
Рисунок 4. Пример FastFlux с архитектурой двойного потока. Источник: Unit42 — PaloAlto Networks .
Дополнительной иллюстрацией разнообразия и специфики выявленных сервисов BPH являются «условия обслуживания», которые они прямо упоминают в своих коммерческих темах. Обратите внимание: если BPH прямо не упоминает правило, это не обязательно означает, что данная деятельность разрешена. Почти половина всех BPH четко заявляют, что они не потерпят размещения любого контента, связанного с детской порнографией, терроризмом, экстремизмом или любой деятельностью, направленной против Сообщества Независимых Государств (СНГ) и России. Этот набор правил очень распространен и призван защитить владельцев BPH, проживающих в странах бывшего СССР, путем ограничения их юридической ответственности, если какой-либо тип этого контента будет размещен в их сети (предположительно) без их ведома.
Игнорирование включения SpamHaus в черный список, очевидно, является проблемой для значительного количества BPH, так же как и нацеливание на финансовые и правительственные организации. SpamHaus — компания, предоставляющая информацию о репутации IP-адресов, доменов и ASN, связанных не только со спамом, но также с фишингом, вредоносным ПО и программами-вымогателями. Это еще раз показывает, что не все BPH согласны внести свою сеть в черный список.
Напротив, условия обслуживания, явно разрешающие определенные виды деятельности и контент, дают хорошее представление о том, как киберпреступники могут использовать эти сервисы.
Таблица 6. Источник: CybercrimeDiaries.com
Анализ всего этого контента помогает построить классификацию 40 BPH, которые мы здесь изучаем, однако для четкой категоризации каждого BPH не хватает одного — анализа отзывов пользователей.
В) Отзывы участников угроз – поддержка и стабильность сервиса: основные проблемы.
Когда я начал изучать отзывы злоумышленников о BPH в коммерческих и арбитражных темах XSS и Exploit, я был удивлен непониманием некоторых злоумышленников того, что они покупают. Действительно, значительное количество негативных комментариев было связано с жалобами на то, что BPH не является «настоящей» BPH. Эти споры часто возникали из-за того, что злоумышленники не читали Условия обслуживания и становились жертвами мифа о том, что BPH может игнорировать любые виды злоупотреблений. С другой стороны, в некоторых случаях злоумышленники открывали арбитражные разбирательства против BPH, которые не были такими надежными, как они утверждали. В целом, отрицательные отзывы было интереснее всего читать, поскольку они часто раскрывали информацию о реальных ограничениях сервиса и его сетевой инфраструктуры.
Даже когда BPH выполнила обещанное, одна из самых распространенных жалоб была связана с плохой поддержкой клиентов или трудностями со связью с продавцом. Связь между поставщиками BPH и субъектами угроз не всегда является плавной. Только 24 BPH имеют коммерческий сайт, а остальные полагаются на такие мессенджеры, как Telegram, Tox или Jabber. Кроме того, наблюдались многочисленные жалобы на стабильность серверов. Проблемы такого типа могут быть особенно проблематичными для злоумышленников, которым нужны серверы с длительным временем безотказной работы для осуществления вредоносной деятельности.
Положительные отзывы, за небольшим исключением, преобладают. Фейковые комментарии, оставленные самими BPH под разными никами, довольно распространены, но не составляют большую часть отзывов для наиболее авторитетных сервисов. Иногда злоумышленники, участвующие в известных вредоносных схемах, таких как разработка и распространение вредоносных программ-похитителей информации, также оставляют отзывы, которые помогают определить, на каком BPH потенциально могут размещаться их серверные части.
Таблица 7. Выдержка из статистики обзоров ДГПЖ. Результаты анонимизированы, чтобы избежать рекламы какой-либо из изучаемых услуг. Источник: CybercrimeDiaries.com.
Сочетание этих обзоров с типами услуг и условиями обслуживания изучаемого BPH помогает разделить их на 3 категории:
- Первый уровень – Tier 1 – состоит из провайдеров BPH, которые предлагают услуги низкого качества или со строгими ограничениями. Например, в этой категории можно найти BPH, которые эффективны только для таких действий, как сканирование сети или брутфорс. К этой же категории относятся и БПХ, якобы допускающие несколько более продвинутые виды деятельности, но имеющие значительное количество отрицательных отзывов. BPH первого уровня не обязательно является плохим выбором для киберпреступника, если он знает, что именно ему нужно, и желает получить дешевое решение.
- BPH уровня 2 обычно состоят из сервисов, которым не важен черный список SpamHaus, которые владеют собственными серверами или имеют стойки в центрах обработки данных.
- В конце концов, Tier 3 BPH — это самые технически продвинутые и авторитетные сервисы, они часто обладают собственными серверами и статусом LIR и продают FastFlux.
Таблица 8. Источник: CybercrimeDiaries.com
Г) Ограничения BPH – дорогая услуга, которая не всегда необходима для киберпреступной деятельности.
Как мы видели, не все службы BPH одинаковы и не всегда оправдывают ожидания субъектов угроз. Некоторые ограничения серверов BPH включают отсутствие стабильности, низкую надежность или отсутствие резервных копий, высокую стоимость и занесение их IP-адресов в черный список. Чтобы обойти эти проблемы, злоумышленники могут реализовать несколько решений. Одним из эффективных методов является маскировка легитимных серверов за прокси-серверами или использование сетей FastFlux.
Рисунок 5. Ялишанда BPH объясняет, что его серверы не являются пуленепробиваемыми без запутывания FastFlux. Машинный перевод.
Проблема с FastFlux заключается в том, что он остается дорогостоящим методом сокрытия вредоносной активности, а IP-адреса, связанные с BPH и FastFlux, по-прежнему можно идентифицировать и внести в черный список. Среди семи провайдеров BPH, которые в настоящее время предлагают услуги FastFlux, цены за один домен варьируются от более 50 до более 400 долларов в месяц.
Таблица 9. Результаты были анонимизированы, чтобы избежать рекламы наблюдаемой BPH. Источник: CybercrimeDiaries.com.
Некоторые авторитетные представители киберпреступного сообщества, такие как злоумышленник «Братва», заявили, что использование BPH не всегда необходимо . Фактически, иногда это может привлечь нежелательное внимание и снизить вероятность успеха вредоносных операций. Вместо этого сокрытие вредоносной полезной нагрузки может оказаться более эффективным и экономичным решением, чем покупка дорогих серверов BPH. Использование злоумышленниками обычного или «серого» хостинга для размещения своих блогов с программами-вымогателями Onion или веб-сайтов панелей управления информационными ворами также показывает, что BPH не всегда необходим, если IP-адреса веб-сайта должным образом запутаны.
Рисунок 6. Злоумышленник и модератор XSS «bratva» объясняет, что он избегает использования BPH и предпочитает вместо этого использовать услуги белого хостинга. Машинный перевод.
Та же логика предположительно применима и к доменам. Регистрация их у надежных поставщиков помогает обойти решения безопасности, основанные на репутации, и тем самым повышает вероятность успеха вредоносных кампаний.
Рисунок 7. Злоумышленник «menekees» утверждает на XSS, что домены BPH не всегда являются лучшим решением.
Взлом белых хостингов — известная тактика среди киберпреступников. Например, злоумышленник «Ужасный пират Робертс» объясняет, что его серверы часто подвергаются сканированию и брутфорс-атакам со стороны белых хостингов. На форумах киберпреступников довольно легко купить украденные или анонимно зарегистрированные аккаунты AWS, OVH и других популярных хостингов.
Рисунок 8. Злоумышленник «Ужасный пират Робертс» объясняет на XSS, что использование BPH для сканирования может принести меньшие результаты, чем использование белых хостинг-провайдеров.
II) BPH Alpha и Beta — иллюстрация разнообразия надежных хостинг-провайдеров.
Теперь, когда у нас есть общая картина ситуации с BPH по XSS и Exploit, а также несколько развеяны мифы, окружающие эти сервисы киберпреступников, давайте более подробно рассмотрим двух конкретных поставщиков BPH.
А) BPH Alpha – высокопрофессиональный хостинг-провайдер со стажем.
Первый БПХ, о котором мне хотелось бы с вами поговорить, — это ветеран русскоязычного киберпреступного подполья. Этот BPH уровня 3 начал свою незаконную деятельность в период с 2010 по 2020 год, и контролирующая его организация в настоящее время управляет не менее чем четырьмя различными BPH на XSS и Exploit. Злоумышленники, приобретающие услуги у этих четырех BPH, скорее всего, не подозревают, что имеют дело с одной организацией. Решение владельцев «БПХ Альфа» разделить свою деятельность на четыре бренда весьма интригует и демонстрирует продуманную коммерческую стратегию. Он оказался очень эффективным, помогая BPH Alpha за последние годы добиться оборота более 10 миллионов долларов.
На другой стороне медали, за этими четырьмя BPH, стоит хорошо структурированный легальный хостинговый бизнес, зарегистрированный в России, чьи IP-адреса и AS зарегистрированы на компании в Европе и Китае. Эта российская компания имеет офис в Москве, и в ней работают не менее десятка ИТ-специалистов, вспомогательного персонала, графических дизайнеров и торгового персонала. Хостинговая компания имеет давние партнерские отношения с ведущими дата-центрами и хостинг-провайдерами Москвы. На ее сайте рекламируются вполне легальные услуги, предоставляется информация о компании и ее инфраструктуре, освещаются мероприятия, на которых присутствовали представители компании.
Несколько ошибок операционной безопасности, допущенных руководством BPH Alpha на ранних этапах развития этого предприятия, позволили собрать пазл воедино.
Таблица 10. Источник: CybercrimeDiaries.com
Интересно, что бизнес Alpha в сфере BPH был гораздо более стабильным, чем у законных хостинговых компаний, принадлежащих этой организации. С момента начала деятельности BPH Alpha были созданы четыре хостинговые компании, которые впоследствии были объявлены банкротами. Этот цикл банкротств предполагает, что доходы, полученные от четырех BPH, являются единственным значительным источником дохода для «Альфы». Однако его владельцы не могут включать эти незаконные доходы в балансы своих легальных компаний, вынуждая их периодически ротировать компании, закрывая старые и регистрируя новые.
Таблица 11. Источник: CybercrimeDiaries.com.
Наблюдение за более чем 5000 IP-адресами, принадлежащими Alpha, также намекает на то, что сервис в основном используется в киберпреступных целях. У компании есть несколько блоков AS и IPs, предназначенных для конкретной вредоносной деятельности, чтобы избежать занесения в черный список всей сети.
Таблица 12. Источник: CybercrimeDiaries.com/Greynoise.io.
Когда я искал информацию об IP-адресах «Альфы», я наткнулся на отчет, анализирующий операцию APT. Согласно этому отчету, один из IP-адресов, принадлежащих BPH Alpha, использовался в качестве сервера C2, предположительно контролируемого группой APT. Это подчеркивает близость и взаимосвязь, которые иногда существуют между миром киберпреступности и спонсируемыми государством вредоносными кампаниями.
Таблица 13. Источник: CybercrimeDiaries.com.
Б) BPH Бета – оппортунистический бизнес, начатый тремя друзьями.
На другой стороне спектра BPH существует более скромное предприятие, которым управляют трое друзей из российского города. Их путь более хаотичен и оппортунистичен, что отражает их постоянную готовность адаптироваться к новым тенденциям и выгодным возможностям. BPH Beta не имеет собственных блоков AS или IP, а арендует серверы у легальных и серых хостингов. Владельцы также рекламируют создание офшоров на форумах киберпреступников.
Таблица 14. Источник: CybercrimeDiaries.com.
Судя по всему, преступная деятельность владельцев «БПХ Бета» началась в сфере финансовых махинаций. Их решение начать обмен криптовалюты и продавать платежные услуги без KYC подпольным магазинам еще раз демонстрирует их стремление извлечь выгоду из новых популярных тенденций. Такое поведение продолжилось, когда трое друзей решили запустить службу BPH в 2020-х годах, рекламируя ее на тех же форумах, которые помогли им получить прибыль от своей ранней киберпреступной деятельности. Невероятно, но один из супругов учредителя открыто рекламирует эту услугу в Интернете, что может свидетельствовать об отсутствии проницательности и понимания противоправного характера деятельности, связанной с администрированием BPH.
Таблица 15. Источник: CybercrimeDiaries.com
Надеюсь, вам понравился этот короткий экскурс в мир надежного хостинга и вы узнали что-то новое. Ваши отзывы приветствуются в Twitter/X.
моей компании (OWN-CERT).
Источники:
Мэтт Бёрджесс, «Предполагаемый вдохновитель программы-вымогателя LockBit установлен», Wired , 7 мая 2024 г., .
«Санкции международных агентств к Дмитрию Хорошеву, лидеру LockBit», 7 мая 2024 г., .
Последнее редактирование:
