Форум даркнета закрыт: точный удар по глобальной экосистеме программ-вымогателей.

15 мая по восточному времени США, когда пользователи попытались получить доступ к даркнет-форуму RAMP, привычный черный интерфейс для сделок был заменен официальным уведомлением о конфискации. В уведомлении указано: ФБР конфисковало RAMP. Вместе с этим появился известный слоган форума — «Единственное место, где разрешено обсуждать программы-вымогатели!», сопровождаемый ироничным изображением подмигивающей Маши из российского мультсериала «Маша и Медведь». Эта операция, возглавляемая Федеральным бюро расследований США совместно с офисом федерального прокурора Южного округа Флориды и отделом компьютерных преступлений и интеллектуальной собственности Министерства юстиции, знаменует собой ключевой момент в борьбе международных правоохранительных органов с русскоязычной киберпреступной экосистемой. Как один из немногих ведущих даркнет-рынков, которые после 2021 года все еще открыто разрешали продвижение бизнеса программ-вымогателей, исчезновение RAMP не только перерезало ключевой узел преступного общения, но и означает, что правоохранительные органы, возможно, получили доступ к огромному объему пользовательских данных и записей переговоров, стоящих за ним.

Запланированная операция по правоприменению и технологическому захвату.

С технической точки зрения, эта блокировка была проведена чисто и эффективно. Правоохранительные органы не только взяли под контроль Tor-адреса RAMP в виде луковой маршрутизации, но и захватили его обычный домен ramp4u.io. Записи DNS-серверов были переключены на серверы, которые ФБР обычно использует в подобных операциях. Такой двойной контроль означает, что независимо от того, каким способом пользователь попытается получить доступ, он сразу увидит уведомление от правоохранительных органов. Исследователи в области кибербезопасности отмечают, что такой метод захвата идентичен предыдущим операциям против аналогичных преступных форумов (таких как AlphaBay, Hans Market) и представляет собой типичную модель скрытого захвата с последующим внезапным публичным объявлением.

Ключевым моментом являются данные. Сообщение, опубликованное администратором форума Stallman на другом хакерском форуме XSS, подтвердило блокировку и выразило разочарование: правоохранительные органы взяли под контроль форум RAMP... Это разрушило мою многолетнюю работу по созданию "самого свободного форума в мире". Его опасения не лишены оснований. На криминальном форуме, активном почти три года, в базе данных наверняка хранится огромное количество зарегистрированных пользовательских email-адресов, возможно, утекших IP-адресов, личных сообщений, записей о сделках, адресов биткоин-кошельков и даже внутренних журналов управления. Для любого субъекта угрозы с пробелами в операционной безопасности (Opsec) эти данные могут стать уликой, указывающей на его реальную личность. После атаки программой-вымогателем DarkSide на Colonial Pipeline в 2021 году давление со стороны западных правоохранительных органов резко возросло, что привело к запрету публичного обсуждения программ-вымогателей на основных русскоязычных хакерских форумах, таких как Exploit и XSS. Именно в этом контексте RAMP был создан в июле 2021 года, быстро заполнив рыночный вакуум и став основной площадкой для нескольких групп, занимающихся программами-вымогателями, для вербовки партнеров, покупки и продажи сетевого доступа, а также обмена методами атак.

Ключевые фигуры, стоящие за форумом, и истоки хаоса.

Рождение RAMP тесно связано с угрозой под названием Orange, который также использует псевдонимы Wazawaka и BorisElcin. Его реальная личность — российский гражданин Михаил Матвеев, что было публично раскрыто известным журналистом по кибербезопасности Брайаном Кребсом и подтверждено самим Матвеевым исследователю Recorded Future Дмитрию Смилянецу. Криминальная биография Матвеева является типичной: он был администратором банды вымогателей Babuk, которая прекратила свою деятельность после внутреннего раскола в 2021 году, после атаки на полицейское управление столичного округа Вашингтон. Раскол был вызван внутренними спорами о том, следует ли публично раскрывать украденные данные правоохранительных органов. После утечки данных группа распалась.

Матвеев использовал существующий домен Tor и инфраструктуру Babuk для создания RAMP. Он утверждал, что создал форум для повторного использования существующего трафика и ресурсов Babuk, подчеркивая, что RAMP в конечном итоге не приносил прибыли и постоянно подвергался распределенным атакам типа «отказ в обслуживании», поэтому после роста популярности форума он постепенно отошел от управления. Однако официальные записи рисуют иную картину. В 2023 году Министерство юстиции США предъявило Матвееву обвинение в участии в нескольких операциях с программами-вымогателями, включая Babuk, LockBit и Hive, которые были нацелены на медицинские учреждения, правоохранительные органы и другую критическую инфраструктуру США. В том же году Управление по контролю за иностранными активами Министерства финансов США наложило на него санкции, ФБР внесло его в список наиболее разыскиваемых преступников, а Государственный департамент США предложил вознаграждение в размере до 10 миллионов долларов за информацию, которая может привести к его аресту или осуждению.

Цепная реакция в глобальной экосистеме киберпреступлений с использованием программ-вымогателей.

Закрытие RAMP не является изолированным событием, а представляет собой последнее звено в международной скоординированной борьбе с цепочками преступлений, связанных с программами-вымогателями. За последние два года, от проникновения и разрушения инфраструктуры группировки программ-вымогателей Hive до ареста ключевых администраторов LockBit и захвата их сайта утечек полицией, правоохранительные операции перешли от простых арестов отдельных преступников к системному уничтожению их онлайн-инфраструктуры и системы доверия, от которых они зависят. RAMP, как информационный посредник, рынок талантов и платформа репутации, выполняет функции, которые трудно быстро заменить.

Аналитики отмечают, что такие удары дают множественный эффект. В краткосрочной перспективе они создают эффект охлаждения, заставляя активные филиалы программ-вымогателей переходить на более скрытые и нишевые каналы связи, что увеличивает их затраты на сотрудничество и риски доверия. В среднесрочной перспективе правоохранительные органы, анализируя изъятые данные, могут составить более четкую картину преступной сети, что может спровоцировать новую волну глобальных арестов. В долгосрочной перспективе это продолжает сжимать пространство для существования модели «программа-вымогатель как услуга», вынуждая преступные схемы эволюционировать или перемещаться. Тем не менее, проблемы сохраняются. Основные операторы в основном находятся в юрисдикциях, не имеющих договоров об экстрадиции с США, что делает их физический захват крайне сложным. Пока экономическая выгода от атак программ-вымогателей остается высокой, всегда будут появляться новые форумы в более глубоких уголках теневого интернета.

Эволюция логики атак и защиты в новую эпоху сетевого правоприменения.

Данная операция наглядно демонстрирует изменение стратегии в современной борьбе с киберпреступностью: переход от задержания отдельных лиц к подрыву всей экосистемы. Вместо того чтобы годами отслеживать анонимный криптовалютный адрес, правоохранительные органы предпочли взять под контроль коммуникационную платформу преступников, получив доступ ко всей социальной структуре сообщества. Это больше напоминает разведывательную войну. Страница конфискации, созданная ФБР, намеренно использовала слоганы самой платформы RAMP и символы русской культуры — такая психологическая насмешка и демонстрация силы являются частью информационной войны, направленной на подрыв морального духа преступного сообщества и публичное заявление о технических возможностях правоохранительных органов.

Более глубокая причина заключается в переплетении геополитики и киберпространства. Хотя ключевые фигуры, такие как Матвеев, находятся в России, серверная инфраструктура RAMP, регистраторы доменов и даже часть пользователей неизбежно пересекаются с цифровыми объектами, подпадающими под юрисдикцию США и их союзников. Это создает возможности для трансграничного правоприменения. С стратегической точки зрения, постоянные удары по таким заметным платформам киберпреступности — это не только необходимая мера для защиты национальной критической инфраструктуры, но и способ установления правил и демонстрации возможностей в киберпространстве. Для глобального бизнеса исчезновение RAMP является положительным сигналом, но отнюдь не конечной точкой. Корень угрозы программ-вымогателей заключается в их трансграничной прибыльной бизнес-модели и дисбалансе глобальной системы цифровой обороны. Пока существуют уязвимости и выплачиваются выкупы, эта игра в кошки-мышки между даркнетом и открытым интернетом далека от завершения. Каждая крупная победа правоохранительных органов — это лишь начало нового раунда атак и защиты.