«XSS» и «Exploit», хотя и являются отдельными форумами, тесно сотрудничают в обеспечении соблюдения своих правил. Если будет обнаружено, что участник участвует в мошенничестве или нарушает правила на одном форуме, другой, скорее всего, также забанит его, особенно если связь между его учетными записями очевидна, например, наличие одного и того же имени пользователя или идентичных контактов. Такое сотрудничество частично объясняется общей историей форумов и наличием модераторов, работающих на обеих платформах, таких как «Quake3» и «Weaver». В январе 2024 года произошел широко разрекламированный случай этого сотрудничества, когда «Exploit» также заблокировал представительский аккаунт LockBit на форуме после того, как он был первоначально забанен на «XSS» .
Рисунок 19. Сотрудники Exploit.
Exploit, запущенный примерно в апреле 2005 года под названием «Hack-All», является еще одним ветераном RLCF. Форум сменил название после того, как в 2006 году якобы был украден контроль над доменом hack-all.net , затем форум переехал на новый домен Exploit.in и был официально переименован в феврале 2006 года. Форум также принадлежал злоумышленнику «Тоха», пока он предположительно не продал его «хорошо известным и надежным партнерам» в мае 2018 года.
Рисунок 20. Первая версия форума Exploit (тогда называвшегося Hack-All) в мае 2005 года . Авто в переводе с русского.
Передача «Эксплойта» новому руководству в 2018 году вызвала значительную критику и скептицизм, в первую очередь из-за нераскрытой личности новых владельцев. Спекуляции и слухи о возможном захвате власти российскими или украинскими спецслужбами начали распространяться и периодически всплывали на поверхность.
Рисунок 21. Эксплойт в 2024 году.
Слухи о контроле «Эксплойта» со стороны правоохранительных органов начали распространяться после того, как XMPP-серверы форума (@exploit.im) столкнулись с неожиданными и необъяснимыми техническими проблемами летом 2018 и 2019 годов.
По словам российского хакера Андрея Спорова, известного как «Sp0raw», «Эксплойт» был взломан Службой безопасности Украины как минимум с 2015 года . Действительно, еще в 2019 году хакер утверждал, что модератор «Эксплойта», а затем ведущий «Whost», после его ареста сотрудничал с украинской полицией . Эти обвинения не поддаются проверке, но значительная часть сообщества киберпреступников доверяет им .
Рис. 22. Злоумышленник Уост безуспешно пытался заявить, что он не имеет никакого отношения к ФБР. Участники Exploit считали, что, хотя Уост был арестован в Украине, за операцией стояло ФБР. Авто в переводе с русского.
Последняя волна слухов о контроле «Эксплойта» со стороны правоохранительных органов возникла на фоне российского вторжения в Украину в октябре 2022 года. Павел Ситников, пророссийский человек и администратор Telegram-канала Freedom Fox, специализирующийся на темы, связанные с киберпреступностью, утверждал, что «Тоха» продал «Эксплойт» Службе безопасности Украины . После публичного опровержения со стороны «Тохи» г-н Ситников впоследствии отказался от своих обвинений. Необходимо признать, что эти утверждения могут быть частью дезинформационной кампании, а также существуют необоснованные утверждения, предполагающие причастность ФСБ России к контролю над «Эксплойтом».
С 2018 года и приходом новых владельцев произошло несколько изменений. Новые администраторы ввели регистрационный сбор в размере 100 долларов США для всех новых пользователей, чтобы удержать потенциальных мошенников и неопытных злоумышленников от присоединения (200 долларов США в 2024 году). Однако новички могут получить бесплатное членство, если они занимают должности администратора или модератора на других «дружественных» форумах или могут продемонстрировать, что у них есть знания в области, связанной с вредоносным ПО, разработкой программного обеспечения или хакерством.
Кроме того, «Эксплойт» имеет два закрытых раздела: «1-й уровень доступа» и «2-й уровень доступа». «1-й уровень доступа» защищен паролем, и пользователь может получить пароль после публикации 50 сообщений. «2-й уровень доступа» доступен только доверенным и проверенным участникам, одобренным участниками форума, имеющими доступ к этому ограниченному уровню, и администраторами.
Как и в случае с «XSS», таргетинг на страны с русскоязычным населением сильно ограничен .
Рисунок 23. Требования к паролю первого уровня.
Рисунок 24. Представительский аккаунт Lockbit на Exploit до его блокировки 31 января 2024 года. Злоумышленник использовал в качестве изображения профиля фотографию эксперта по кибербезопасности г-на Джона Димаджио.
Как и XSS, Exploit является важным центром для продвинутых участников угроз, таких как банды вымогателей, разработчики вредоносных программ и брокеры первоначального доступа. Те же актеры, что и в «XSS», можно найти под одинаковыми или разными дескрипторами в «Exploit». Относительная избирательность этого RLCF облегчает разработку продвинутого контента и дает его членам доступ к базе знаний.
Рис. 25. Разделы функций эксплойта, посвященные предоставлению знаний по различным ценным темам для хакеров. Авто в переводе с русского.
Например, значительное количество исходного кода вредоносного ПО доступно участникам бесплатно. Затем злоумышленники могут адаптировать код к своим потребностям и разработать новое вредоносное ПО. Создатель программ-вымогателей LockBit Black 3.0 или Babuk, исходный код воров, ботнетов и RAT публикуется и обсуждается на «Exploit». легко найти подробные руководства по эксплуатации уязвимостей в веб-приложениях или различных типах программного обеспечения Также можно .
Рисунок 26. Злоумышленник опубликовал обратный анализ загрузчика Amadey. Авто в переводе с русского.
Как показано в Таблице 9, в 2022 году было создано более 12 тысяч тем, «Эксплойт» является ключевой публичной платформой для киберпреступников. Аукционы, объявления о вакансиях, рассылка спама и украденные журналы — самые распространенные темы на рынке. Тем не менее, некоторые темы, связанные с банковским мошенничеством, ограничены «Эксплойтом», что объясняет, почему на рынке не существует категории, предназначенной для картирования.
Таблица 9. Источник:
Раздел «Аукционы» в «Эксплойте» в основном заполнен корпоративным доступом на продажу. Эти доступы принадлежат самым разным компаниям: от очень маленьких до огромных многомиллиардных транснациональных фирм. Реже злоумышленники выставляют на аукцион украденные базы данных или банковскую информацию.
Рисунок 27. Аукционы Exploit в основном состоят из тем, связанных с продажей доступа к инфраструктуре компаний, базам данных, дампам кредитных карт и поддельным документам. Авто в переводе с русского.
В разделе «Работа» собраны сотни тем, созданных киберпреступниками, ищущими разработчиков вредоносного кода, и злоумышленниками, ищущими работодателя и рекламирующими свои возможности. Раздел «Другое» включает около тысячи тем с различными инструментами, такими как сценарии анализа, средства проверки журналов, браузеры с защитой от обнаружения и службы поиска. Раздел «Доступ» небольшой, поскольку в «Эксплоите» большинство транзакций, связанных с корпоративным доступом, скорее происходят в разделе «Аукционы».
Рисунок 28. Злоумышленник с депозитом в 1 BTC рекламирует свои возможности кодирования. Авто в переводе с русского.
Хотя другие RLCF и не так известны, как «XSS» или «Exploit», которые почти приобрели всемирную медиатизацию благодаря присутствию крупных участников угроз, связанных с программами-вымогателями, они играют центральную роль в экосистеме киберпреступников и о них необходимо кратко упомянуть.
Как упоминалось ранее, RLCF в категории « Прочее/киберпреступность» изначально не создавались исключительно для киберпреступной деятельности. Фактически, большинство этих форумов начинались как дискуссионные площадки для геймеров и подростков. Однако их администраторы признали, что разрешение киберпреступной деятельности на их форумах может привлечь более широкую аудиторию и принести дополнительный доход. Неоспоримым лидером среди этих форумов является «LolzTeam» не только из-за своего огромного сообщества, но и из-за той ключевой роли, которую он играет в более широкой русскоязычной киберпреступной экосистеме.
Успех «LolzTeam» побудил других участников угроз создать свои собственные версии этого сообщества в попытке привлечь аналогичную аудиторию. Примером может служить форум «Lozerix», запущенный в 2021 году. «Lozerix» даже пытается повторить структуру и внешний вид «LolzTeam», но на данный момент далек от достижения такого же уровня успеха. Другой случай — RLCF «Mipped», который очень низок по сравнению с «LolzTeam» и очень активен по сравнению с «XSS» или «Exploit». Качественный анализ этого форума, в первую очередь посвященного взлому и мошенничеству в видеоиграх, показывает, что «Mipped» неинтересен для дальнейшего обсуждения в этой статье.
Таблица 10. Источник:
«LolzTeam», также известный как «Зеленка», основанный в 2013 году Гришей Сучковым, в настоящее время является одним из самых популярных русскоязычных форумов. Сообщество, которое посещают около 250 000 человек в день, по сути, превратилось в своего рода социальную сеть для подростков. Хотя подавляющее большинство участников этого форума не вовлечены в какую-либо противозаконную деятельность, на этом форуме активно проявляет себя меньшинство киберпреступников, специализирующихся на различных формах мелкого мошенничества, генерации трафика (трафферов) и краже учетных записей.
Рисунок 29. LolzTeam в 2024 году.
Согласно официальной статистике, 65% членов «LolzTeam» родом из России, 20% из Украины, а остальные из других бывших советских республик, таких как Беларусь . Большинство посетителей относятся к возрастному диапазону от 16 до 25 лет, что соответствует основной тематической направленности форума. «LolzTeam» в первую очередь углубляется в темы, связанные с соревновательными видеоиграми, инструментами для мошенничества и внутриигровыми предметами (одежда персонажей, оружие и другие предметы, обычно называемые «добычей» на английском языке).
В последнее время репутация этого RLCF среди киберпреступников пострадала из-за агрессивной политики монетизации его администрации, направленной против продавцов MaaS.
Рисунок 30. Официальная статистика активности LolzTeam – май 2023 г.
Синяя линия — количество посетителей в день. Зеленая линия — количество просмотров за день.
С момента своего создания, помимо разработки и продажи товаров и услуг, связанных с видеоиграми, сообщество постепенно начало продавать украденные аккаунты Steam и социальных сетей. Этот сдвиг в сторону размещения сообщества киберпреступников начался примерно в 2016 году, когда администрация форума начала публиковать руководства по краже аккаунтов в социальных сетях и осуществлению мелких мошеннических схем. В отличие от «XSS» или «эксплойтов», нацеленных на русскоязычных, это общепринятая и широко популярная деятельность среди злоумышленников, действующих в «LolzTeam».
На этой доске часто обсуждаются и популяризируются различные мошеннические методы, такие как пресловутая методика «Антикино» . Этот метод предполагает вымогательство денег у жертвы, убеждая ее, что она покупает билет в кино на первое романтическое свидание. Обычно жертва знакомится с привлекательным человеком в приложении для знакомств и по его предложению соглашается на первое свидание в кинотеатре. Попросив свою жертву купить билеты на фейковом сайте кинотеатра, обаятельный человек прекращает всякое общение. Манипулирование жертвами с помощью различных форм социальной инженерии составляет существенную часть незаконной деятельности внутри «LolzTeam».
Рисунок 31. Посты в блоге, опубликованные администрацией LolzTeam в 2016 году. Автоперевод с русского.
Чтобы поддержать развитие продажи законно принадлежащих или украденных аккаунтов, администрацией «LolzTeam» была создана совершенно отдельная торговая площадка . Сообщается, что в феврале 2024 года на торговой площадке, принадлежащей LozlTeam, выставлено на продажу 282 999 аккаунтов в социальных сетях и игровых платформах. Самые популярные из них — аккаунты Steam, Вконтакте, Telegram и TikTok.
Рисунок 32. Якобы на специализированной торговой площадке, принадлежащей LozlTeam, в феврале 2024 года выставлено на продажу 282 999 украденных и легальных аккаунтов. Авто переведено с русского.
Помимо этих мелких мошенничеств, на «LolzTeam» появились и более опасные активности, связанные с продажей инфостайлеров и рекламой команд трафферов. «Торговцы» — это киберпреступники, стремящиеся распространить вредоносное программное обеспечение, часто используя хорошо зарекомендовавшие себя аккаунты YouTube, Instagram или TikTok с важной базой пользователей. Обычно они публикуют привлекательный контент, например рекламу «бесплатной лицензии Photoshop» с URL-адресами в комментариях, перенаправляющими на вредоносный веб-сайт или файл, зараженный вредоносным ПО-инфовором. Например, украденный аккаунт YouTube со 172 000 подписчиков был выставлен на продажу на сайте «LolzTeam» примерно за 550 долларов и мог быть использован именно для этой цели.
Рисунок 33. В марте 2023 года злоумышленник продавал скомпрометированный аккаунт YouTube со 172 000 подписчиков за 550 долларов.
Наши наблюдения привели нас к выводу, что «LolzTeam» играет интересную роль в русскоязычной экосистеме киберпреступников, занимаясь вербовкой трейдеров и формированием специализированных команд. Эта деятельность по привлечению потенциальных клиентов впоследствии используется другими киберпреступниками, которые, например, покупают журналы или разрабатывают программы для кражи информации. Сейчас этому виду деятельности посвящен целый раздел, многочисленные команды набирают новых трейдеров и предлагают обучение новичков.
Рисунок 34. Команды трейдеров набирают новых участников в LolzTeam. Авто в переводе с русского.
Рисунок 35. Команда трейдера набирает новых участников в LolzTeam. Авто в переводе с русского.
Барьер для входа в эту киберпреступную деятельность на самом деле очень низок, поскольку на форуме в свободном доступе находятся подробные инструкции, объясняющие, в чем заключается работа трейдера и как ее выполнять .
Рисунок 36. Подробное руководство, объясняющее, как стать успешным трейдером, опубликованное на LolzTeam. Авто в переводе с русского.
Коммерческие темы, опубликованные на «LolzTeam» в 2023 году, как показано в Таблице 11, подчеркивают наличие киберпреступной деятельности, связанной с торговцами, информационными ворами и связанными с ними услугами, такими как анализ журналов и проверка криптокошелька. Напротив, разделы, посвященные вакансиям и услугам, ориентированным на программирование, фишинг и сценарии, менее популярны и менее технически продвинуты, чем на других известных RLCF.
Таблица 11. Источник:
Создавая LolzTeam в 2013 году в возрасте 15 лет, г-н Гриша Сучков не ожидал, что его проект так быстро станет таким популярным и успешным, а его форум впоследствии станет хабом для киберпреступников. Эти факты и молодой возраст г-на Сучкова, вероятно, объясняют, почему, в отличие от других администраторов RLCF, он открыто делился значительным объемом личной информации, став в конечном итоге своего рода знаменитостью в созданном им сообществе. Члены «LolzTeam» активно следят за Сучковым в социальных сетях и даже создали множество мемов с его фотографиями.
В своем интервью в апреле 2023 года г-н Сучков, судя по всему, признает, что доходы, получаемые от его форума, можно рассматривать в лучшем случае как «серые», что ставит его в сложное положение с властями его страны. Администратору «LolzTeam», возможно, в ближайшие годы придется принять решение: продолжать продвигать киберпреступную деятельность или изучать альтернативные методы монетизации.
С 2022 года на «LolzTeam» заметно снизилось количество контента, связанного с инфокрадами и торговцами. Это может свидетельствовать о том, что администрация решила ограничить количество незаконного контента на форуме. Другим возможным объяснением является агрессивный подход к монетизации, нацеленный на продавцов MaaS в «LolzTeam». Судя по темам на других RLCF , разработчики инфостайлеров с мая 2023 года выражают обеспокоенность по поводу неоднократного мошенничества со стороны модераторов «LolzTeam», которые часто закрывают свои коммерческие темы под различными предлогами и требуют оплаты, чтобы позволить им продолжать свою деятельность на форуме. . Эта ситуация, очевидно, негативно отразилась на репутации «LolzTeam» среди киберпреступников.
Рисунок 37. Примеры фотографий и мемов, которые можно найти в Интернете по запросу «ланской» в Яндексе (один из дескрипторов г-на Сучкова).
Существует множество RLCF, специализирующихся в первую очередь на кардинге, и выявлено около 20 активных сообществ. Однако уровень их активности различен. В настоящее время большой популярностью пользуются только три форума, а именно «WWH-Club», «Club CRD» и «CrdPro», причем последний посещают в основном англоговорящие люди. Эти сообщества предлагают доступ к обширным знаниям о краже и мошенничестве с кредитными и подарочными картами. Среди них выделяется один форум — «WWH-Club» служит площадкой, где киберпреступники могут приобрести навыки, связанные с кражей данных кредитных карт, и научиться получать прибыль от этой незаконной деятельности.
Таблица 12. *Методология: пользователь считается активным в 2023 году, если он опубликовал хотя бы одно сообщение.
Источник:
2) Эксплойт – выборочный, но успешный RLCF высокого уровня.
Рисунок 19. Сотрудники Exploit.
а) Истоки одного из старейших и известных RLCF.
Exploit, запущенный примерно в апреле 2005 года под названием «Hack-All», является еще одним ветераном RLCF. Форум сменил название после того, как в 2006 году якобы был украден контроль над доменом hack-all.net , затем форум переехал на новый домен Exploit.in и был официально переименован в феврале 2006 года. Форум также принадлежал злоумышленнику «Тоха», пока он предположительно не продал его «хорошо известным и надежным партнерам» в мае 2018 года.
Рисунок 20. Первая версия форума Exploit (тогда называвшегося Hack-All) в мае 2005 года . Авто в переводе с русского.
б) Ходят слухи вокруг Exploit – под контролем правоохранительных органов?
Передача «Эксплойта» новому руководству в 2018 году вызвала значительную критику и скептицизм, в первую очередь из-за нераскрытой личности новых владельцев. Спекуляции и слухи о возможном захвате власти российскими или украинскими спецслужбами начали распространяться и периодически всплывали на поверхность.
Рисунок 21. Эксплойт в 2024 году.
Слухи о контроле «Эксплойта» со стороны правоохранительных органов начали распространяться после того, как XMPP-серверы форума (@exploit.im) столкнулись с неожиданными и необъяснимыми техническими проблемами летом 2018 и 2019 годов.
По словам российского хакера Андрея Спорова, известного как «Sp0raw», «Эксплойт» был взломан Службой безопасности Украины как минимум с 2015 года . Действительно, еще в 2019 году хакер утверждал, что модератор «Эксплойта», а затем ведущий «Whost», после его ареста сотрудничал с украинской полицией . Эти обвинения не поддаются проверке, но значительная часть сообщества киберпреступников доверяет им .
Рис. 22. Злоумышленник Уост безуспешно пытался заявить, что он не имеет никакого отношения к ФБР. Участники Exploit считали, что, хотя Уост был арестован в Украине, за операцией стояло ФБР. Авто в переводе с русского.
Последняя волна слухов о контроле «Эксплойта» со стороны правоохранительных органов возникла на фоне российского вторжения в Украину в октябре 2022 года. Павел Ситников, пророссийский человек и администратор Telegram-канала Freedom Fox, специализирующийся на темы, связанные с киберпреступностью, утверждал, что «Тоха» продал «Эксплойт» Службе безопасности Украины . После публичного опровержения со стороны «Тохи» г-н Ситников впоследствии отказался от своих обвинений. Необходимо признать, что эти утверждения могут быть частью дезинформационной кампании, а также существуют необоснованные утверждения, предполагающие причастность ФСБ России к контролю над «Эксплойтом».
в) Методы доступа к эксплойту и особенности этого RLCF.
С 2018 года и приходом новых владельцев произошло несколько изменений. Новые администраторы ввели регистрационный сбор в размере 100 долларов США для всех новых пользователей, чтобы удержать потенциальных мошенников и неопытных злоумышленников от присоединения (200 долларов США в 2024 году). Однако новички могут получить бесплатное членство, если они занимают должности администратора или модератора на других «дружественных» форумах или могут продемонстрировать, что у них есть знания в области, связанной с вредоносным ПО, разработкой программного обеспечения или хакерством.
Кроме того, «Эксплойт» имеет два закрытых раздела: «1-й уровень доступа» и «2-й уровень доступа». «1-й уровень доступа» защищен паролем, и пользователь может получить пароль после публикации 50 сообщений. «2-й уровень доступа» доступен только доверенным и проверенным участникам, одобренным участниками форума, имеющими доступ к этому ограниченному уровню, и администраторами.
Как и в случае с «XSS», таргетинг на страны с русскоязычным населением сильно ограничен .
Рисунок 23. Требования к паролю первого уровня.
г) Эксплойт – ключевое место для киберпреступности высокого уровня.
Рисунок 24. Представительский аккаунт Lockbit на Exploit до его блокировки 31 января 2024 года. Злоумышленник использовал в качестве изображения профиля фотографию эксперта по кибербезопасности г-на Джона Димаджио.
Как и XSS, Exploit является важным центром для продвинутых участников угроз, таких как банды вымогателей, разработчики вредоносных программ и брокеры первоначального доступа. Те же актеры, что и в «XSS», можно найти под одинаковыми или разными дескрипторами в «Exploit». Относительная избирательность этого RLCF облегчает разработку продвинутого контента и дает его членам доступ к базе знаний.
Рис. 25. Разделы функций эксплойта, посвященные предоставлению знаний по различным ценным темам для хакеров. Авто в переводе с русского.
Например, значительное количество исходного кода вредоносного ПО доступно участникам бесплатно. Затем злоумышленники могут адаптировать код к своим потребностям и разработать новое вредоносное ПО. Создатель программ-вымогателей LockBit Black 3.0 или Babuk, исходный код воров, ботнетов и RAT публикуется и обсуждается на «Exploit». легко найти подробные руководства по эксплуатации уязвимостей в веб-приложениях или различных типах программного обеспечения Также можно .
Рисунок 26. Злоумышленник опубликовал обратный анализ загрузчика Amadey. Авто в переводе с русского.
д) Эксплойт: ключевой рынок незаконных услуг и рабочих мест.
Как показано в Таблице 9, в 2022 году было создано более 12 тысяч тем, «Эксплойт» является ключевой публичной платформой для киберпреступников. Аукционы, объявления о вакансиях, рассылка спама и украденные журналы — самые распространенные темы на рынке. Тем не менее, некоторые темы, связанные с банковским мошенничеством, ограничены «Эксплойтом», что объясняет, почему на рынке не существует категории, предназначенной для картирования.
Таблица 9. Источник:
Раздел «Аукционы» в «Эксплойте» в основном заполнен корпоративным доступом на продажу. Эти доступы принадлежат самым разным компаниям: от очень маленьких до огромных многомиллиардных транснациональных фирм. Реже злоумышленники выставляют на аукцион украденные базы данных или банковскую информацию.
Рисунок 27. Аукционы Exploit в основном состоят из тем, связанных с продажей доступа к инфраструктуре компаний, базам данных, дампам кредитных карт и поддельным документам. Авто в переводе с русского.
В разделе «Работа» собраны сотни тем, созданных киберпреступниками, ищущими разработчиков вредоносного кода, и злоумышленниками, ищущими работодателя и рекламирующими свои возможности. Раздел «Другое» включает около тысячи тем с различными инструментами, такими как сценарии анализа, средства проверки журналов, браузеры с защитой от обнаружения и службы поиска. Раздел «Доступ» небольшой, поскольку в «Эксплоите» большинство транзакций, связанных с корпоративным доступом, скорее происходят в разделе «Аукционы».
Рисунок 28. Злоумышленник с депозитом в 1 BTC рекламирует свои возможности кодирования. Авто в переводе с русского.
Хотя другие RLCF и не так известны, как «XSS» или «Exploit», которые почти приобрели всемирную медиатизацию благодаря присутствию крупных участников угроз, связанных с программами-вымогателями, они играют центральную роль в экосистеме киберпреступников и о них необходимо кратко упомянуть.
Б) LolzTeam, он же форум «социальной инженерии» — царство трейдеров и молодых киберпреступников.
Как упоминалось ранее, RLCF в категории « Прочее/киберпреступность» изначально не создавались исключительно для киберпреступной деятельности. Фактически, большинство этих форумов начинались как дискуссионные площадки для геймеров и подростков. Однако их администраторы признали, что разрешение киберпреступной деятельности на их форумах может привлечь более широкую аудиторию и принести дополнительный доход. Неоспоримым лидером среди этих форумов является «LolzTeam» не только из-за своего огромного сообщества, но и из-за той ключевой роли, которую он играет в более широкой русскоязычной киберпреступной экосистеме.
Успех «LolzTeam» побудил других участников угроз создать свои собственные версии этого сообщества в попытке привлечь аналогичную аудиторию. Примером может служить форум «Lozerix», запущенный в 2021 году. «Lozerix» даже пытается повторить структуру и внешний вид «LolzTeam», но на данный момент далек от достижения такого же уровня успеха. Другой случай — RLCF «Mipped», который очень низок по сравнению с «LolzTeam» и очень активен по сравнению с «XSS» или «Exploit». Качественный анализ этого форума, в первую очередь посвященного взлому и мошенничеству в видеоиграх, показывает, что «Mipped» неинтересен для дальнейшего обсуждения в этой статье.
Таблица 10. Источник:
1) LolzTeam – гигантское сообщество, мало внимания уделяющее киберпреступности.
«LolzTeam», также известный как «Зеленка», основанный в 2013 году Гришей Сучковым, в настоящее время является одним из самых популярных русскоязычных форумов. Сообщество, которое посещают около 250 000 человек в день, по сути, превратилось в своего рода социальную сеть для подростков. Хотя подавляющее большинство участников этого форума не вовлечены в какую-либо противозаконную деятельность, на этом форуме активно проявляет себя меньшинство киберпреступников, специализирующихся на различных формах мелкого мошенничества, генерации трафика (трафферов) и краже учетных записей.
Рисунок 29. LolzTeam в 2024 году.
Согласно официальной статистике, 65% членов «LolzTeam» родом из России, 20% из Украины, а остальные из других бывших советских республик, таких как Беларусь . Большинство посетителей относятся к возрастному диапазону от 16 до 25 лет, что соответствует основной тематической направленности форума. «LolzTeam» в первую очередь углубляется в темы, связанные с соревновательными видеоиграми, инструментами для мошенничества и внутриигровыми предметами (одежда персонажей, оружие и другие предметы, обычно называемые «добычей» на английском языке).
В последнее время репутация этого RLCF среди киберпреступников пострадала из-за агрессивной политики монетизации его администрации, направленной против продавцов MaaS.
Рисунок 30. Официальная статистика активности LolzTeam – май 2023 г.
Синяя линия — количество посетителей в день. Зеленая линия — количество просмотров за день.
2) Создание сообщества «социальных инженеров» (мошенников) внутри LolzTeam.
С момента своего создания, помимо разработки и продажи товаров и услуг, связанных с видеоиграми, сообщество постепенно начало продавать украденные аккаунты Steam и социальных сетей. Этот сдвиг в сторону размещения сообщества киберпреступников начался примерно в 2016 году, когда администрация форума начала публиковать руководства по краже аккаунтов в социальных сетях и осуществлению мелких мошеннических схем. В отличие от «XSS» или «эксплойтов», нацеленных на русскоязычных, это общепринятая и широко популярная деятельность среди злоумышленников, действующих в «LolzTeam».
На этой доске часто обсуждаются и популяризируются различные мошеннические методы, такие как пресловутая методика «Антикино» . Этот метод предполагает вымогательство денег у жертвы, убеждая ее, что она покупает билет в кино на первое романтическое свидание. Обычно жертва знакомится с привлекательным человеком в приложении для знакомств и по его предложению соглашается на первое свидание в кинотеатре. Попросив свою жертву купить билеты на фейковом сайте кинотеатра, обаятельный человек прекращает всякое общение. Манипулирование жертвами с помощью различных форм социальной инженерии составляет существенную часть незаконной деятельности внутри «LolzTeam».
Рисунок 31. Посты в блоге, опубликованные администрацией LolzTeam в 2016 году. Автоперевод с русского.
Чтобы поддержать развитие продажи законно принадлежащих или украденных аккаунтов, администрацией «LolzTeam» была создана совершенно отдельная торговая площадка . Сообщается, что в феврале 2024 года на торговой площадке, принадлежащей LozlTeam, выставлено на продажу 282 999 аккаунтов в социальных сетях и игровых платформах. Самые популярные из них — аккаунты Steam, Вконтакте, Telegram и TikTok.
Рисунок 32. Якобы на специализированной торговой площадке, принадлежащей LozlTeam, в феврале 2024 года выставлено на продажу 282 999 украденных и легальных аккаунтов. Авто переведено с русского.
3) LolzTeam — царство Траффера.
Помимо этих мелких мошенничеств, на «LolzTeam» появились и более опасные активности, связанные с продажей инфостайлеров и рекламой команд трафферов. «Торговцы» — это киберпреступники, стремящиеся распространить вредоносное программное обеспечение, часто используя хорошо зарекомендовавшие себя аккаунты YouTube, Instagram или TikTok с важной базой пользователей. Обычно они публикуют привлекательный контент, например рекламу «бесплатной лицензии Photoshop» с URL-адресами в комментариях, перенаправляющими на вредоносный веб-сайт или файл, зараженный вредоносным ПО-инфовором. Например, украденный аккаунт YouTube со 172 000 подписчиков был выставлен на продажу на сайте «LolzTeam» примерно за 550 долларов и мог быть использован именно для этой цели.
Рисунок 33. В марте 2023 года злоумышленник продавал скомпрометированный аккаунт YouTube со 172 000 подписчиков за 550 долларов.
Наши наблюдения привели нас к выводу, что «LolzTeam» играет интересную роль в русскоязычной экосистеме киберпреступников, занимаясь вербовкой трейдеров и формированием специализированных команд. Эта деятельность по привлечению потенциальных клиентов впоследствии используется другими киберпреступниками, которые, например, покупают журналы или разрабатывают программы для кражи информации. Сейчас этому виду деятельности посвящен целый раздел, многочисленные команды набирают новых трейдеров и предлагают обучение новичков.
Рисунок 34. Команды трейдеров набирают новых участников в LolzTeam. Авто в переводе с русского.
Рисунок 35. Команда трейдера набирает новых участников в LolzTeam. Авто в переводе с русского.
Барьер для входа в эту киберпреступную деятельность на самом деле очень низок, поскольку на форуме в свободном доступе находятся подробные инструкции, объясняющие, в чем заключается работа трейдера и как ее выполнять .
Рисунок 36. Подробное руководство, объясняющее, как стать успешным трейдером, опубликованное на LolzTeam. Авто в переводе с русского.
4) LolzTeam – важный хаб для начинающих мошенников и киберпреступников.
Коммерческие темы, опубликованные на «LolzTeam» в 2023 году, как показано в Таблице 11, подчеркивают наличие киберпреступной деятельности, связанной с торговцами, информационными ворами и связанными с ними услугами, такими как анализ журналов и проверка криптокошелька. Напротив, разделы, посвященные вакансиям и услугам, ориентированным на программирование, фишинг и сценарии, менее популярны и менее технически продвинуты, чем на других известных RLCF.
Таблица 11. Источник:
5) Господин. Гриша Сучков на перепутье?
Создавая LolzTeam в 2013 году в возрасте 15 лет, г-н Гриша Сучков не ожидал, что его проект так быстро станет таким популярным и успешным, а его форум впоследствии станет хабом для киберпреступников. Эти факты и молодой возраст г-на Сучкова, вероятно, объясняют, почему, в отличие от других администраторов RLCF, он открыто делился значительным объемом личной информации, став в конечном итоге своего рода знаменитостью в созданном им сообществе. Члены «LolzTeam» активно следят за Сучковым в социальных сетях и даже создали множество мемов с его фотографиями.
В своем интервью в апреле 2023 года г-н Сучков, судя по всему, признает, что доходы, получаемые от его форума, можно рассматривать в лучшем случае как «серые», что ставит его в сложное положение с властями его страны. Администратору «LolzTeam», возможно, в ближайшие годы придется принять решение: продолжать продвигать киберпреступную деятельность или изучать альтернативные методы монетизации.
С 2022 года на «LolzTeam» заметно снизилось количество контента, связанного с инфокрадами и торговцами. Это может свидетельствовать о том, что администрация решила ограничить количество незаконного контента на форуме. Другим возможным объяснением является агрессивный подход к монетизации, нацеленный на продавцов MaaS в «LolzTeam». Судя по темам на других RLCF , разработчики инфостайлеров с мая 2023 года выражают обеспокоенность по поводу неоднократного мошенничества со стороны модераторов «LolzTeam», которые часто закрывают свои коммерческие темы под различными предлогами и требуют оплаты, чтобы позволить им продолжать свою деятельность на форуме. . Эта ситуация, очевидно, негативно отразилась на репутации «LolzTeam» среди киберпреступников.
Рисунок 37. Примеры фотографий и мемов, которые можно найти в Интернете по запросу «ланской» в Яндексе (один из дескрипторов г-на Сучкова).
В) Банковское мошенничество и картирование RLCF.
Существует множество RLCF, специализирующихся в первую очередь на кардинге, и выявлено около 20 активных сообществ. Однако уровень их активности различен. В настоящее время большой популярностью пользуются только три форума, а именно «WWH-Club», «Club CRD» и «CrdPro», причем последний посещают в основном англоговорящие люди. Эти сообщества предлагают доступ к обширным знаниям о краже и мошенничестве с кредитными и подарочными картами. Среди них выделяется один форум — «WWH-Club» служит площадкой, где киберпреступники могут приобрести навыки, связанные с кражей данных кредитных карт, и научиться получать прибыль от этой незаконной деятельности.
Таблица 12. *Методология: пользователь считается активным в 2023 году, если он опубликовал хотя бы одно сообщение.
Источник:
