США и Европа ликвидировали хакерский маркетплейс RaidForums

Татьяна Никитина 13 Апреля 2022 - 13:56

...

США и Европа ликвидировали хакерский маркетплейс RaidForums

Правоохранители США и пяти европейских стран совместными усилиями закрыли сайт RaidForums, на котором осуществлялась купля-продажа краденых данных. Арестован также предполагаемый создатель и администратор торговой точки, популярной у киберкриминала, — 21-летний уроженец Португалии Дьогу Куэлью (Diogo Santos Coelho).

В рамках международной операции Tourniquet американские федералы с разрешения суда захватили три домена, открывавших доступ к торговой платформе. Проживающего в Англии португальца задержали в конце января; его содержат под стражей в ожидании решения об экстрадиции в США. При обыске у подозреваемого изъяли £5000 наличными, удалось также выявить и заморозить принадлежащую ему криптовалюту на сумму 500 тыс. долларов.

По имеющимся данным, криминальный маркетплейс RaidForums был создан в 2015 году; к моменту закрытия его аудитория разрослась до 500 тыс. зарегистрированных пользователей. На сайте широко рекламировался хакерский инструментарий, там также можно было купить украденные и утекшие в Сеть базы учетных, персональных и финансовых данных пользователей интернет-сервисов, а также конфиденциальную переписку высокопоставленных организаций.

По оценкам американских властей, на RaidForums выставлялись на продажу сотни краденых баз данных совокупным объемом более 10 млрд записей. Операторы сайта (предположительно во главе с Куэлью) разрабатывали нужный софт, поддерживали нормальное функционирование инфраструктуры, устанавливали правила для пользователей, а также создавали и вели тематические разделы сайта, в том числе форум Leaks Market, на котором торговали слитыми базами данных.

Члены криминального торгового сообщества имели различный статус — в зависимости от размера взноса; наибольшим количеством привилегий обладали так называемые God — «боги». Юзеры также могли в индивидуальном порядке оплатить доступ к разделу сайта ограниченного пользования или выставленной на продажу базе данных.

На сайте работал платный сервис Official Middleman — доверенного посредника, в роли которого, по версии следствия, выступал Куэлью, использовавший юзернейм Omnipotent («всемогущий»). Такая возможность позволяла участникам сделок удостовериться в пригодности предложенного товара и надежности средств платежа.

Примечательно, что посредник и сам иногда подрабатывал торговлей крадеными данными на своей платформе. В США ему инкриминируют в основном деяния, связанные с функциями главного администратора RaidForums: преступный сговор, мошенничество с использованием средств доступа, кража личности с отягчающими обстоятельствами.

В расследовании по данному делу принимали участие спецслужбы США, эксперты Европола и британского Управления по борьбе с преступностью (NCA), полиция Германии, Швеции, Румынии и Португалии.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 10:31

Информационные войны Общее

Европейский ЦОД погасил серверы и заодно доверие российских клиентов

Европейские дата-центры внезапно напомнили рынку старую истину: даже самая надежная инфраструктура работает ровно до тех пор, пока кто-то не выключит рубильник. В начале июня без предупреждения было обесточено оборудование в нидерландском ЦОДе nLighten, где размещались серверы компании MIRhosting.

Под удар, как уточняет «Коммерсант», попали десятки хостинг-провайдеров и VPN-сервисов, которыми пользуются в том числе российские клиенты. Среди пострадавших оказались VDSina, McHost и ряд других известных игроков рынка.

Причиной кризиса стали события несколькими днями ранее. Нидерландская финансово-следственная служба FIOD провела рейды в дата-центрах, задержала двух человек и изъяла более 800 серверов по подозрению в нарушении санкционного режима в отношении России.

По версии следствия, часть инфраструктуры могла использоваться для поддержки российских кибератак и операций по распространению дезинформации.

После этого руководство nLighten приняло радикальное решение — отключить питание стоек MIRhosting. Причем без предварительного уведомления клиентов. В результате вместе с рабочими сервисами оказались недоступны и резервные копии данных, которые находились на тех же обесточенных серверах.

Последствия быстро стали заметны. По оценкам участников рынка, только у одного из пострадавших провайдеров перестали работать не менее 15 тысяч сайтов. Кроме того, сбои затронули несколько популярных VPN-сервисов. Некоторым операторам пришлось в экстренном порядке переносить инфраструктуру на новые площадки и восстанавливать сервисы из резервных копий.

Собеседники рынка отмечают, что история стала наглядным примером опасности так называемой единой точки отказа. Когда дата-центр, посредник и конечный провайдер оказываются связаны в одной цепочке, проблемы одного участника автоматически превращаются в проблемы всех остальных.

Инцидент может иметь и более долгосрочные последствия. Эксперты полагают, что часть российских клиентов теперь начнет активнее диверсифицировать инфраструктуру и распределять серверы между разными странами и провайдерами. Под вопросом оказался и статус европейских площадок как нейтральной территории для размещения сервисов.

Впрочем, участники рынка не ждут катастрофы для VPN-индустрии. По их словам, альтернативных юрисдикций и площадок в мире по-прежнему достаточно. Но июньское отключение уже стало одним из самых громких инфраструктурных инцидентов года и хорошим напоминанием о том, что резервировать нужно не только данные, но и саму инфраструктуру.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!