Глава II. Русскоязычные киберпреступные форумы – не всегда подпольные, но всегда нацеленные на получение максимальной прибыли
Теперь наше внимание сместится на «подпольную» природу RLCF и их экономическое функционирование. Мы оценим, насколько эти сообщества труднодоступны для постороннего, как их администраторы защищают их от атак и разберемся, как монетизируются RLCF.Далее, в третьей главе мы определим наиболее выдающиеся RLCF, проанализируем их ключевую роль в более широкой экосистеме и исследуем их взаимодействие с сообществами Telegram.
Наконец, в главе IV мы углубимся в геополитические влияния, формирующие эти сообщества. В этой статье мы проанализируем, как недавние глобальные события и политическая динамика повлияли на русскоязычные киберпреступные форумы, дав полное представление об их текущем состоянии и потенциальном будущем.
Выводы из первой главы:
· Хотя прилагательное «андеграундный» часто используется для определения RLCF, оно не всегда отражает реальность. Действительно, большинство RLCF можно найти через обычные поисковые системы, что позволяет даже новичкам заниматься киберпреступной деятельностью. Труднодоступные RLCF существуют, но их меньшинство.
· Администраторам RLCF приходится иметь дело с частыми DDoS-атаками и попытками взлома. Чтобы ограничить влияние DDoS и эксплуатацию уязвимостей, они в основном используют известные и проверенные пакеты программного обеспечения для интернет-форумов и CDN, такие как Xenforo или Cloudflare.
· RLCF — это не только места сбора, где злоумышленники могут общаться и вести свой бизнес, но и предоставляют широкий спектр дополнительных, но не менее важных услуг. Наиболее продвинутые сообщества предлагают такие услуги, как криптовалютные миксеры или серверы Jabber(XMPP).
· Успешные RLCF приносят значительный доход своим владельцам. Однако сложная среда киберпреступности, в которой работают эти форумы, усложняет задачу управления форумами и вынуждает администраторов вкладывать значительные средства в кибербезопасность.
· RLCF применяет различные подходы к рекламе и монетизации своих форумов, как правило, под влиянием их конкретной деятельности и положения в экосистеме.
o Наркофорумы агрессивно рекламируются на улицах стран СНГ, в то время как устоявшиеся нишевые хакерские сообщества, такие как XSS или Exploit, не тратятся на рекламу.
Что касается доходов, то отдельные сообщества в категории «Киберпреступность», по-видимому, в основном получают доход от услуг условного депонирования и депозитов. Напротив, популярные форумы, посвященные наркотикам, мошенничеству и кардингу, также получают значительный доход за счет продажи рекламных площадей на своих страницах.
"Трудно быть богом" - и еще труднее быть администратором RLCF
В начале этой главы мы хотим поделиться историей, которая, на мой взгляд, идеально отражает бремя администраторов RLCF. В августе 2022 года издание The Record взяло интервью у г-на Михаила Матвеева[1], известного злоумышленника, участвующего как минимум в группах вымогателей и активного на сегодняшний день[2]. Гражданин России, известный в том числе под псевдонимами «вадзавака» и «Оранж», рассказал о непредвиденных проблемах, связанных с разработкой и поддержкой киберпреступного форума, с которыми ему пришлось столкнуться.
Рисунок 1. Фотографии господина Матвеева. Источник: Федеральное бюро расследований.
В 2021 году г-н Матвеев был видным членом группы «Babuk», входящей в группу RaaS (Ransomware as a Service). Главным ратным подвигом «Бабука», и, как ни парадоксально, одним из последних, стал взлом столичного полицейского управления в апреле 2021 года[1]. Опасаясь последствий этого нападения, группа распалась якобы после того, как внутренние разногласия между аффилированными лицами и Матвеевым подорвали сплоченность банды. Параллельно с этим в мае 2021 года крупные русскоязычные киберпреступные форумы, обеспокоенные последствиями атаки программы-вымогателя DarkSide на Colonial Pipeline в США, публично запретили темы, связанные с RaaS, чтобы защитить себя от западных спецслужб и правоохранительных органов.
Рисунок 2. В мае 2021 года администратор XSS запрещает любые темы и обсуждения, связанные с программами-вымогателями, на своих форумах.
Напротив, г-н Матвеев, владеющий доменом Onion с высоким трафиком, ранее связанным с несуществующим блогом Babuk RaaS, воспринял этот развивающийся ландшафт как возможность. Наш антигерой действительно был одним из бывших партнеров DarkSide, казалось, не испугался действий правоохранительных органов и решил создать свой собственный форум, специально посвященный программам-вымогателям и брокерам первоначального доступа. Форум под названием «RAMP» (Ransomware Anonymous Market Place) был открыт в июле 2021 года.
Запуск этого проекта был совсем не мирным и простым. 22нд В июле 2021 года злоумышленник оставил сообщение на RAMP с требованием выкупа в размере 5 000 долларов и угрозой, что начнет спам-атаку через 24 часа, если его требования не будут выполнены. Г-н Матвеев, по-видимому, проигнорировал это требование, что привело к атаке на следующий день, когда несколько поддельных участников разместили порнографические GIF-файлы[4].
До атаки количество пользователей составляло около 350 человек, и было отправлено более 100 сообщений, что свидетельствует о значительном интересе к этой новой платформе обмена[5]. Однако к 26 июля, после очистки и переписывания движка FluxBB на форуме, в списке осталось только 59 участников. Новые регистрации на форум были приостановлены до августа, а условия доступа ужесточились.
Тем не менее, злоключения на этом не закончились, после того как уязвимости форумов были исправлены, RAMP стал мишенью постоянных распределенных атак типа «отказ в обслуживании» (DDoS), которые требовали постоянного внимания для ограничения их воздействия. Более того, по мере присоединения к форуму новых участников активность некоторых злоумышленников становилась деборационной для сообщества, что вынудило Матвеева набирать и оплачивать работу модераторов. Одним из таких модераторов стал злоумышленник KAJIT, который стал следующим владельцем форума в последние месяцы 2021 года. После ухода с поста администратора RAMP г-н Матвеев по неизвестным причинам решил подорвать форум. Он распространял слухи через представителей LockBit и BlackMatterRaaS, а также администратора известной RLCF «XSS», предполагая, что КАДЖИТ является агентом правоохранительных органов.
Figure 3. A threat actor is asking a ransom of 5,000 dollars from RAMP’s administrator.
Рассказ г-на Матвеева весьма наглядно иллюстрирует тот обыденный опыт и проблемы, над которыми администратору РЛКМ приходится задумываться и решать их ежедневно. Русскоязычная киберпреступная экосистема, как и любое другое преступное сообщество, представляет собой высококонкурентную и агрессивную среду. Взаимные атаки, иногда спонсируемые конкурирующими форумами, могут быть нацелены на инфраструктуру форума с помощью взлома или DDoS-атак или на его репутацию с помощью кампаний по дезинформации. Это объясняет, почему в случае с RAMP этот форум обошелся господину Матвееву дороже, чем то, что он на нем заработал. Тем не менее, как мы скоро обнаружим, не все RLCF изо всех сил пытаются ориентироваться в сложных условиях; Некоторые форумы адаптируются и процветают.
Прочная основа для успешной работы RLCF
Администраторы RLCF постоянно сталкиваются с проблемой поиска баланса между защитой своих сообществ от внешних угроз, делая их эксклюзивными, и необходимостью привлечения достаточного количества активных участников для поддержания активности этих сообществ. Следовательно, в то время как большинство наблюдаемых RLCF легко доступны для более широкой аудитории, избранные и эксклюзивные сообщества высокого уровня зависят от значительных сборов за регистрацию и условное депонирование для обеспечения их финансовой жизнеспособности.Действительно ли RLCF являются «подпольными» сообществами?
Несмотря на то, что термин «подпольный» обычно используется для описания киберпреступных форумов, предполагая элемент сокрытия или трудности доступа к ним, эта характеристика не полностью отражает реальное состояние большинства RLCF. Из 94 идентифицированных активных форумов 64 доступны только через четкие веб-ссылки, а 26 доступны как через прозрачные веб-домены, так и через сеть TOR. Примечательно, что большинство RLCF можно найти через обычные поисковые системы, такие как Google или Яндекс. Основная проблема заключается в том, чтобы следить за частыми изменениями доменов, которые претерпевают многие форумы.RLCF, которые предоставляют участникам возможность подключения через канал aTOR, в основном делают это для того, чтобы привлечь пользователей, стремящихся поддерживать высокий уровень операционной безопасности (OPSEC), а не для сокрытия своего сообщества.
До недавнего времени форум «RAMP», ориентированный на программы-вымогатели, был доступен исключительно по ссылке TOR, и новые участники должны были внести взнос в размере 500 долларов США за активацию учетной записи. Хотя эта плата по-прежнему применяется к новым участникам, не имеющим устоявшегося, авторитетного присутствия на таких форумах, как XSS или Exploit, в апреле 2023 года произошло значительное изменение. Администратор RAMP создал понятный веб-домен, предположительно в качестве стратегического шага для расширения пользовательской базы. Более того, нынешние владельцы этого форума явно нацелились на потенциальных китайских участников, включив в него китайский перевод форума.
Рисунки 4 и 5. Примеры ограничения доступа. Эксплойт RLCF, расположенный с левой стороны, не позволяет лицам, не являющимся участниками, просматривать содержимое форума, в то время как LolzTeam доступен без регистрации.
Если администратор RLCF хочет скрыть содержимое своего форума, он может использовать различные методы для ограничения доступа. Тем не менее, решение об ограничении доступности форума применяется не повсеместно, так как это может негативно сказаться на его популярности. Только определенные эксклюзивные сообщества склонны использовать эту стратегию, которая может преследовать несколько целей. Наркотики RLCF часто доступны только через ссылки TOR, потому что их чистый домен будет просто постоянно запрещен правоохранительными органами. Чтобы помочь потенциальным клиентам найти их, владельцы Drugs RLCF создают или полагаются на конкретные веб-сайты, доступные в открытом интернете, и рекламируют «сообщества и торговые площадки даркнета», делясь своими ссылками TOR. Менее радикальный, но все же эффективный подход к ограничению доступа включает в себя сокрытие содержимого форума от тех, кто не является его участником, и препятствование индексации форума поисковыми системами. Как правило, для того, чтобы злоумышленник получил доступ ко всему спектру информации форума, достаточно создания бесплатной учетной записи.
По состоянию на январь 2024 года только 10 форумов требуют оплаты за создание аккаунта или за взаимодействие с другими пользователями. Так обстоит дело с такими RLCF, как "Omerta", "WWH Club" и "Coockie Pro". И наоборот, бесплатные сообщества, стремящиеся поддерживать определенную степень избирательности, иногда ограничивают регистрацию новых учетных записей в определенные периоды. В последнее время RLCF, такие как XSS, стали очень популярными, особенно после закрытия известных англоязычных форумов в 2022 и 2023 годах. Это привлекло много новых англоязычных пользователей, что обеспокоило администрацию форума и русскоязычных участников. Администратор этого форума решил предотвратить ошеломляющий всплеск новых участников или лиц, владеющих несколькими счетами, открывая регистрацию новых счетов только в короткие периоды времени.
Наконец, промежуточное решение заключается в создании избранного сообщества внутри самого сообщества. В настоящее время 4 RLCF имеют эксклюзивные разделы, доступные исключительно наиболее авторитетным членам, как это определено администрацией и одноранговыми членами. Это практика, наблюдаемая на форумах типа «Проверенный» или «Эксплойт», где доступ предоставляется на основе репутации и положения в сообществе или определенного количества опубликованных сообщений.
Рисунок 6. Примеры закрытых разделов доступны только избранным членам Exploit.
Из чего состоят RLCF?
По своей сути чувствительная и незаконная деятельность, осуществляемая в рамках RLCF, требует строгого подхода к их собственной практике кибербезопасности. Экономическая конкуренция между форумами и соперничество между киберпреступными сообществами часто становятся причиной взаимных атак. Таким образом, киберпреступный форум, который становится жертвой порчи, кражи данных или становится недоступным после DDoS-атаки, может столкнуться с подрывом авторитета и доверия среди своих участников. Критические нарушения безопасности не только ставят под угрозу операционную целостность форума, но и значительно снижают его авторитет в киберпреступном сообществе.Таким образом, выбор известных пакетов программного обеспечения для интернет-форумов, на которых построены RLCF, является ключевой задачей. Xenforo, vBulletin или IPB очень популярны, потому что они обеспечивают удовлетворительный пользовательский опыт и, что самое главное, они хорошо изучены исследователями безопасности и хакерами, что ограничивает риски обнаружения и эксплуатации уязвимости 0-day.
Злоумышленники активно используют недостатки программных пакетов форумов, чтобы нанести ущерб репутации и нарушить работу конкурирующих форумов, как это было летом 2022 года, когда наркофорум «RuTor» был взломан своими конкурентами с маркетплейса под названием «Kraken». Тем не менее, новые слабые места можно найти не только в самом программном обеспечении интернет-форумов, но и в плагинах, которые используются на форумах[6]. Например, уязвимый плагин стал причиной утечки данных на форуме «Эксплойт» в 2017 году.
Рисунок 7. Летом 2022 года RLCF RuTor был скомпрометирован своим конкурентом Kraken.
Сеть доставки контента (CDN) — еще один инструмент, обеспечивающий безопасность и доступность RLCF, поскольку они являются важным компонентом защиты от DDoS-атак.
Рисунок 8. Примеры обсуждений DDoS-атак на русскоязычные форумы и маркетплейсы по продаже наркотиков.
Таблица 2. Январь 2024 года.
Другие услуги, предоставляемые RLCF
Русскоязычные форумы киберпреступников — это не только места общения или ведения бизнеса злоумышленников, но и доступ к полезной рабочей среде. Например, все обнаруженные RLCF предлагают своим членам услугу условного депонирования. Хотя мы углубимся в специфику системы условного депонирования позже, на данном этапе важно понимать, что она действует как механизм безопасности. Эта система позволяет злоумышленникам уверенно заниматься покупкой и продажей услуг и товаров, гарантируя, что форум вернет им деньги, если транзакция пройдет не так, как ожидалось. Естественно, эта услуга не является бесплатной; Комиссии обычно направляются через биткойн-кошельки форума и удерживаются до тех пор, пока транзакция не будет успешно завершена.Еще одной популярной услугой, которую предлагает продвинутый RLCF, является возможность создания адреса Jabber/XMPP (службы обмена сообщениями), который размещается на серверах форума. Действительно, анонимность и конфиденциальность общения вне форумов являются важной потребностью для киберпреступников, мессенджеры Jabber являются одним из инструментов, который помогает киберпреступникам защитить свои обмены. XMPP или Extensible Messaging and Presence Protocol - это открытая технология XML для связи в реальном времени, она используется в широком спектре приложений, таких как мессенджер Jabber. Этот мессенджер до сих пор популярен среди русскоязычных киберпреступников, хотя и был создан еще в 1999 году. Обнаружение в мае 2023 года уязвимости удаленного выполнения кода в мессенджере TOX — очень популярном среди русскоязычных киберпреступников децентрализованном средстве коммуникации — вызвало возрождение популярности Jabber.
Одним из слабых мест протокола XMPP и мессенджера Jabber является необходимость иметь или использовать сервер, через который будет проходить связь. Таким образом, киберпреступники должны выбирать, создавать ли собственный сервер или использовать уже существующий, на котором логи якобы не регистрируются. Самыми известными из этих анонимных серверов, принадлежащих RLCF, являются @thesecure.biz и @exploit.im, принадлежащие соответственно XSS и Exploit. В целом, только 10 RLCF имеют собственный сервер XMPP.
Более распространенным явлением является наличие ссылки на официальный канал в Telegram. С тех пор, как Telegram стал популярным, почти половина RLCF создала официальный канал в Telegram. Последние могут принимать несколько форм, самые сложные имеют канал с несколькими потоками, который выглядит как настоящий форум, менее продвинутые Telegram-каналы, принадлежащие RLCF, просто владеют новостной лентой и чатом.
Рисунки 9 и 10. У RLCF часто есть свой Telegram-канал. Слева форум по программированию r0 создал несколько разделов в своем Канале. Справа официальный новостной канал SkynetZone, форум Fraud.
Наконец, в некоторых случаях некоторые форумы открыто демонстрируют свою принадлежность к другим сообществам и торговым площадкам. Эти партнерские отношения часто видны на форумах через рекламу на торговых площадках или через специальные темы, связанные с аффилированными форумами и веб-сайтами. Кроме того, некоторые RLCF, такие как WWh-Club, ориентированный на картинг, включают в себя финансовые услуги, включая криптовалютные миксеры. Примечательно, что известные и сложные форумы по наркотикам, такие как RuTor, разработали мобильное приложение (Android и iOS) для своих участников, чтобы облегчить транзакции с наркотиками. В некоторых исключительных случаях RLCF также предлагает уникальные инструменты, такие как проверка уязвимостей и анонимности, а также системы обмена файлами для своих пользователей.
Рисунок 11. Пример сервисов, аккаунтов в социальных сетях и способов доступа к RLCF.
Таблица 3. Январь 2024 года.
RLCF и их экономическая система – дорогостоящее вложение за потенциально важное вознаграждение
Как вы уже догадались, мало кто из людей приложил бы столько усилий для создания и поддержания киберпреступного форума, если бы целью этой деятельности не было получение прибыли. Тем не менее, существует несколько методов для достижения этой цели. Мы рассмотрим различные стратегии монетизации, которые используют администраторы RLCF. Понимание этих стратегий имеет решающее значение для понимания экономических основ, которые поддерживают и продвигают финансово успешные форумы, иллюстрируя, как они конвертируют свою незаконную деятельность в финансовую прибыль.Ограничением данного исследования является отсутствие точных данных о расходах, связанных с рекламой, зарплатами персонала или расходами на инфраструктуру, такую как хостинг. Эти расходы не распределяются прозрачно и, как правило, варьируются в зависимости от конкретного случая, что создает проблему в получении точной финансовой информации для каждого RLCF. В то время как провайдеры абузоустойчивых хостингов открыто раскрывают свои тарифы на злоумышленников, стоимость их услуг для RLCF конкретна и не разглашается. На эти различия влияют такие факторы, как объем трафика каждого сообщества, локализация серверов и дополнительные опции, что затрудняет единую оценку. Зарплата сотрудников — еще один неизвестный параметр, так как модераторы могут быть как волонтерами, так и оплачиваемыми сотрудниками.
Напротив, источники дохода RLCF могут быть в некоторой степени оценены и иногда открыто обсуждаются их администраторами. По словам создателя LolzTeam, его форум в настоящее время приносит доход в размере 15 млн рублей в год (около $190 000 на момент подачи иска в апреле 2023 года). Администратор квалифицировал эти деньги как «серые» и заявил, что не может отчитываться о них перед российскими налоговыми службами.
Цена славы – неизбежные траты и рискованные вложения.
Как показывает случай с господином Матвеевым и его форумом RAMP, расходы, связанные с поддержанием и развитием киберпреступного сообщества, значительны. Они включают в себя абузоустойчивый хостинг, защиту от DDoS и спама, техническое обслуживание движка форума, модерацию и, что не менее важно, время. Наблюдение за другими RLCF также позволяет предположить, что затраты, связанные с созданием контента и рекламы, могут быть существенными. Последние две категории особенно важны для новых форумов или для сообществ, которым необходимо конкурировать за сохранение лояльности своей пользовательской базы.Реклама - необязательна для доминантного RLCF, критична для форумов по наркотикам и новых RLCF
Анализ рекламных объявлений, принадлежащих различным RLCF, свидетельствует о разнообразном подходе к рекламе среди русскоязычных киберпреступных сообществ. Не все из них инвестируют в рекламу, а те, кто инвестирует, используют различные стратегии. Нишевые форумы, такие как «Exploit» или «XSS», например, не выделяют средств на рекламу, так как они уже известны и не хотят привлекать слишком много внимания. Напротив, новые RLCF, стремящиеся расширить свое сообщество и репутацию, такие как форум по кардингу «DarkClub», активно и агрессивно продвигают свою деятельность.Удивительным явлением стало то, что «DarkClub» начал публиковать в Telegram-каналах объявления, не имеющие ничего общего с кибербезопасностью, что подчеркивает желание некоторых RLCF привлечь новых участников за пределами хакерского сообщества. Эту стратегию также реализуют несколько русскоязычных форумов по наркотикам, которые решили нацелиться на потенциальных клиентов, разместив свои рекламные объявления, баннеры на улицах и билбордах российских городов, таких как Москва[7], и в то же время привлечь злоумышленников, специализирующихся на кардинге. После смерти нескольких человек, которым DrugsRLCF заплатила за размещение баннеров с крыш зданий, кажется, что теперь новой тенденцией стало использование проекторов для показа рекламы.
Затраты на покупку рекламы на сайтах, в Telegram-каналах или на других форумах киберпреступников для продвижения RLCF могут быть значительными. Это было подчеркнуто арестом ФБР администратора DeepDotWeb, который показал, что этот человек заработал более 8 миллионов долларов на размещении ссылок на маркетплейсы и киберпреступные форумы на своем сайте.
Рисунок 12. RLCF DarkClub рекламирует свою деятельность даже в Telegram-каналах, не связанных с кибербезопасностью.
Рисунок 13. Реклама, принадлежащая маркетплейсу OMG и спроецированная в Санкт-Петербурге, Россия.
Создание контента – бонус для доминирующего RLCF, критическая инвестиция для форумов по наркотикам и нового RLCF.
Несколько RLCF создали свои собственные журналы о хакерстве или употреблении наркотиков. Интересно, что журнал форума о наркотиках WayAway выглядит очень профессионально, в то время как журнал XSS больше фокусируется на качестве контента, а не столько на дизайне.
Рисунок 14. Свежий номер журнала "Inception" компании XSS.
Конкурсы — еще один инструмент в руках комьюнити-менеджеров для привлечения новых пользователей или удержания существующих участников. Drugs RLCF сталкиваются с жесткой конкуренцией и должны постоянно внедрять инновации, чтобы привлечь новых клиентов, и часто организуют игры с денежными призами или бесплатными лекарствами. Киберпреступники RLCF, такие как XSS или Exploit, также организуют конкурсы с несколькими тысячами долларов в качестве приза за лучшую работу о хакерстве, но их администраторы обычно находят спонсоров для финансирования наград для победителей. Последний конкурс, организованный на XSS в ноябре 2023 года, был спонсирован за 20 000 долларов злоумышленником, продающим Crypto Drainer.
Рисунок 15. Конкурс, организованный администрацией и партнерами на WayAway.
Рисунок 16. В ноябре 2023 года XSS запустила конкурс на лучший хакерский проект или программное обеспечение.
Источники доходов – жилы киберпреступности.
Указанные расходы не означают, что все RLCF принадлежат благотворителям, готовым жертвовать своим временем и деньгами на сайтах только во благо киберпреступного сообщества. Самые успешные форумы, с огромной активной пользовательской базой и хорошо организованными командами, могут приносить существенный доход своим владельцам. Например, Drug Forum RuTor якобы был продан за $3 млн в 2022 году, что показывает, сколько денег проходит через одну из самых успешных RLCF, специализирующуюся на продаже лекарств. Регистрационные сборы, продажа статуса, услуги условного депонирования, реклама, обучение, депозиты и подарки от пользователей являются распространенными источниками дохода для RLCF. Реклама и создание партнерств (с киберпреступными маркетплейсами), по нашим наблюдениям, являются крупнейшими источниками дохода RLCF.Философия получения дохода и монетизации.
Хотя источники дохода RLCF ясны, это не означает, что все сообщества разделяют одну и ту же философию и используют одну и ту же стратегию монетизации. Идентифицированный RLCF можно расположить на линии между двумя архетипами с противоположными взглядами на получение дохода и его важность.- Первая крайность изображает архетип форума, который утверждает, что приносит доход, достаточный для покрытия расходов. Лишние деньги якобы не пойдут в карманы администратора, а будут реинвестированы на развитие форума. Объявлений мало, и администратор открыто не монетизирует свои знания о участниках форума. Администраторы RLCF, такие как Exploit или XSS, утверждают, что они максимально приближены к этому идеалистическому архетипу управления, хотя это не следует воспринимать как должное. Наблюдения за криптовалютными транзакциями, проходящими через адреса этих форумов, показывают, что миллионы долларов проходят через BTC-адреса Exploit и XSS.
- Вторая крайность — это сообщества, которые принадлежат открыто финансово мотивированным администраторам, цель которых — выжать как можно больше дохода из форума и его пользовательской базы. RLCF, такие как "RuTor", "Darkmoney" или "WWH-Club", ближе к этому архетипу. Рекламные объявления присутствуют везде, и администраторы без колебаний рассылают рекламные письма участникам форума.
Источники дохода.
Пожертвования.Символическим источником дохода являются денежные пожертвования от членов. Это часто происходит в RLCF, которые открыто и агрессивно не монетизируют свое сообщество или, по крайней мере, демонстрируют себя как «сообщества, ориентированные на знания, а не на коммерческую деятельность».
Рисунок 17. Пример того, как RLCF просит денежных пожертвований от своих членов.
Регистрационные взносы.
Несмотря на то, что регистрационные взносы не всегда значительны, они не должны быть отменены. Как правило, эти сборы варьируются от 50 до 500 долларов, они могут обеспечить интересный доход, особенно если форум привлекает много новых пользователей. Также был зафиксирован редкий случай, когда цена за регистрацию была установлена на уровне 1,000$.
Чтобы дать вам представление о том, сколько известный, но все еще относительно небольшой платный RLCF, такой как Exploit, может заработать за счет регистрационных взносов, мы сравнили количество участников в январе 2023 года и в январе 2024 года. За год форум набрал около 6 000 новых аккаунтов, которые могли бы принести 12 000 долларов, если бы все эти аккаунты были платными за регистрацию.
Рисунок 18. Эксплойт требует, чтобы новые пользователи заплатили 200 долларов за регистрацию учетной записи, если вы не выполняете определенные условия.
Продажа премиальных статусов.
Когда новый участник присоединяется к RLCF, покупка премиум-статуса может быть важна для того, чтобы подчеркнуть его положение или облегчить коммерческую деятельность. Стоимость статусов может варьироваться от $50 до $1000 и дает различные преимущества, такие как право продавать что-либо или обучаться у администрации форума определенному незаконному ремеслу.
Интересный случай наблюдался на XSS, где с прошлого года появилась возможность приобрести специальный аккаунт для краулеров. Продаваемый за 2000 долларов в год, он напрямую нацелен на исследователей безопасности и компании, занимающиеся разведкой угроз. По словам администратора XSS, основная идея этого специального аккаунта краулера заключается в том, чтобы позволить исследователям собирать данные и удалять форум, не опасаясь ограничений или бана. Неизвестно, приобретал ли кто-нибудь этот тип аккаунта.
Рисунок 19. Пример статусных цен и связанных с ними преимуществ по кардингу RLCF WWH-Club.
Месторождение.
Наряду с покупкой статусов, внесение определенной суммы криптовалюты или денег на форумах является еще одним источником легитимности и известности для злоумышленников, желающих повысить свой престиж и шансы привлечь новых клиентов. Крупный депозит повышает доверие потенциальных клиентов, так как гарантирует, что администрация возьмет эти деньги для компенсации законно неудовлетворенному клиенту. Эта система выгодна для владельца форума, потому что комиссия взимается каждый раз, когда деньги добавляются или отзываются. Например, на XSS комиссия за списание денег составляет 1% от внесенной суммы, и 4%, когда владелец решает их вернуть.
Еще одна успешная RLCF под названием LolzTeam известна своей впечатляющей способностью генерировать доход. По словам администратора этого форума, различные продавцы, присутствующие на форуме, внесли более 65 миллионов рублей в криптовалютах и фиатных валютах (около 830 000 долларов на момент публикации этого интервью, 2 апреля 2023 года). Полезно отметить, что в момент вывода средств берется комиссия в размере 8%, это сулит интересный аннуитет для форума.
Рисунок 20. Пример того, как пользователи кладут деньги на свои счета на XSS.
Рисунок 21. Пример расценок комиссии на депозит на XSS. 1% при добавлении денег и 4% при их возврате.
Услуга условного депонирования.
Все рассмотренные RLCF предлагают услугу условного депонирования, обычно взимая до 10% от общей стоимости транзакции. Сервис призван обезопасить обе стороны в сделке путем назначения администратора форума или другого доверенного участника в качестве посредника. Этот посредник играет ключевую роль в подтверждении того, что обе стороны придерживались оговоренных условий. Они обладают полномочиями по возврату средств клиенту или защите прав поставщика услуг в случае спора по сделке. Администраторы RLCF часто выступают за использование своего сервиса условного депонирования, все чаще делая его обязательным условием для участников, желающих продать или купить что-либо на своих форумах.
Рисунок 22. Условия услуги условного депонирования на Ufolabs. В этом случае услуга не автоматизирована, и покупателю необходимо связаться с администратором.
Сложные киберпреступные форумы, такие как XSS или WWH-Club, предоставляют полностью автоматизированные услуги условного депонирования, избавляя администраторов от необходимости лично контролировать каждую транзакцию. Анализ биткойн-кошельков, используемых для платежей условного депонирования на этих форумах, показывает, что через них циркулируют тысячи BTC, что служит важным показателем уровня активности и финансовых возможностей каждого форума. 25 мая 2023 года злоумышленник «nightly» успешно продал на XSS RCE-уязвимость, затрагивающую мессенджер Tox, за 20 биткоинов (около $550 000 на тот момент). Только в этот раз форум заработал 55 000 долларов благодаря своему эскроу-сервису. Хотя большинство сделок не так важны, этот случай показывает, насколько прибыльной может быть система условного депонирования для RLCF.
Рисунок 23. Злоумышленник ночью продал уязвимость RCE для мессенджера Tox за 20 BTC менее чем за 5 минут.
Реклама.
Иллюстрацией потенциального дохода RLCF можно служить на примере общедоступных рекламных тарифов Drug RLCF «RuTor». Стоимость рекламных баннеров на этом форуме варьируется, начиная от 300 долларов в месяц за баннер меньшего размера и увеличиваясь до 12 000 долларов в месяц за баннер, размещенный в самой заметной зоне форума. Оценка потенциального дохода от 60 заполненных баннеров на главной странице RuTor путем подсчета рекламных размещений, цены на которые находятся в открытом доступе, позволяет предположить, что только баннеры могут приносить владельцам форума не менее 145 500 долларов в месяц. Кроме того, форум использует адреса электронной почты своих зарегистрированных пользователей; Отправка рекламного письма всей пользовательской базе RuTor стоит 700 долларов. Весной 2023 года RuTor также организовал аукцион на десять слотов на партнерских маркетплейсах, а ставки на три лучших слота начинались от $15 000.
Рисунок 24. Стена с рекламой на РЛКМ РуТор.
Рисунок 25. Цены на рекламу на сайте RLCFRuTor.
"WWH-Club", успешная RLCF, специализирующаяся на кардинге, сумела заработать не менее 919 708 долларов на рекламе и получить доход от премиального статуса за 8 лет. Наличие аккаунта, предназначенного исключительно для приема платежей, помогает оценить объем дохода, полученного от добавлений. Интересно, что по моим наблюдениям в прошлом году в январе 2023 года общая выручка, видимая на этом счете, составила всего 270 712 долларов, а это значит, что форум заработал около 650 000 долларов менее чем за год.
Рисунок 26. Аккаунт "Рекламы" на WWH-Club был специально создан для получения оплаты за рекламу. С левой стороны скриншот от января 2023 года, с правой стороны скриншот от января 2024 года.
