Правоохрана закрыла WT1SHOP, торговавший миллионами краденых учеток и ПДн

Татьяна Никитина 07 Сентября 2022 - 16:12

Домашние пользователи

Государство

Утечки информации

Умышленные утечки информации

Кража данных

...

Правоохрана закрыла WT1SHOP, торговавший миллионами краденых учеток и ПДн

В ходе международной операции были захвачены сайт и домены одной из крупнейших торговых площадок даркнета — WT1SHOP. В США также огласили обвинения, выдвинутые против предполагаемого оператора хакерского маркетплейса — 36-летнего молдаванина Николая Колесникова.

Захват сайта произвели правоохранительные органы Португалии, американцы взяли под свой контроль четыре домена — wt1shop.net, wt1store.cc, wt1store.com и wt1store.net. По данным BleepingComputer, войти в магазин можно было также из доменов WT1SHOP в других TLD-зонах (.biz, .me, .xyz и .org); их судьба неизвестна, но в любом случае эта возможность теперь закрыта.

По имеющимся свидетельствам, на WT1SHOP продавали в основном скомпрометированные учетные данные, номера банковских карт, а также информацию, позволяющую установить личность (personally identifying information, PII). На сайте работал свой форум, посетителям также предоставлялся доступ к механизму платежа (в биткоинах). Реклама торговых услуг обычно публиковалась на русскоязычных хакерских форумах и в сообществах Reddit соответствующей тематики.

В июне 2020 года киберкопам Нидерландов удалось заглянуть в базу данных WT1SHOP; на сайте числилось свыше 60,8 тыс. зарегистрированных пользователей, в том числе 91 продавец и два администратора. На продажу были выставлены около 2,4 млн записей общей стоимостью $4 миллиона. Бесценный для хакеров и мошенников товар включал такую информацию, как учетки интернет-магазинов, финансовых сервисов, электронной почты, а также сканы удостоверений личности и пароли для удаленного доступа к компьютерам, серверам и сетевым устройствам.

В декабре 2021 года аудитория теневого маркетплейса, по данным голландцев, превысила 106 тыс. юзеров, при этом 94 продавца суммарно предлагали купить почти 5,85 млн записей с персональными и учетными данными.

Выйти на Колесникова правоохранителям удалось после изучения проводимых через WT1SHOP сделок купли-продажи и платежей, имейл-адресов, привязанных к аккаунтам, а также данных о входах на сайт. Судя по всему, молдаванин являлся оператором криминального сервиса и выполнял функции администратора сайта. В США его обвиняют в преступном сговоре и торговле средствами несанкционированного доступа — совокупно до 10 лет лишения свободы, по американским законам.

За последние два года в рамках борьбы с торговлей крадеными учетками и ПДн блюстители правопорядка провели несколько аналогичных операций. Закрыты такие популярные у киберкриминала рынки, как DarkMarket, Slilpp, Hydra Market, RaidForums, SSNDOB.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 05 Февраля 2026 - 12:50

Бэкдоры Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Группа Stan Ghouls усилила атаки в СНГ и заинтересовалась IoT

«Лаборатория Касперского» разобрала свежую кампанию кибергруппы Stan Ghouls, которая в конце 2025 года активно атаковала организации в странах СНГ — от России до Казахстана, Кыргызстана и Узбекистана. Под удар попали финансовые компании, промышленные предприятия и ИТ-бизнес. В целом набор инструментов у злоумышленников остался прежним, но инфраструктуру они заметно обновили, плюс, похоже, начали присматриваться к атакам на IoT.

Stan Ghouls ведёт целевые кампании как минимум с 2023 года и уже успела выработать узнаваемый почерк.

Группировка использует собственные вредоносные загрузчики на Java и регулярно «освежает» инфраструктуру, регистрируя новые домены под каждую волну атак. Основной интерес злоумышленников, по оценке экспертов, по-прежнему связан с финансовой выгодой, но элементы кибершпионажа тоже не исключаются.

Сценарий атак выглядит классически, но исполнен аккуратно. Всё начинается с фишинговых писем с вредоносными PDF-вложениями. Письма тщательно подгоняются под конкретных жертв и пишутся на локальных языках.

Часто они маскируются под официальные уведомления — например, «предупреждение от прокуратуры» или «постановление районного суда». Внутри PDF скрыта ссылка: переход по ней запускает вредоносный загрузчик. Отдельно жертву просят установить Java, якобы без неё документ нельзя открыть.

После этого загрузчик скачивает легитимный софт для удалённого администрирования — NetSupport, который злоумышленники используют для полного контроля над заражённой системой. Ранее ключевым инструментом Stan Ghouls был коммерческий RAT STRRAT (он же Strigoi Master), и группа продолжает полагаться на проверенные решения, не меняя их без необходимости.

По данным «Лаборатории Касперского», в рамках этой кампании злоумышленники атаковали более 60 целей — довольно внушительное число для таргетированной операции. Это говорит о наличии ресурсов для ручного управления десятками скомпрометированных устройств одновременно.

Отдельный интерес вызвал один из доменов, использовавшихся в прошлых кампаниях группы. На нём исследователи обнаружили файлы, связанные с известным IoT-зловредом Mirai. Это может указывать на расширение арсенала Stan Ghouls и попытки группы попробовать себя в атаках на умные устройства.

Эксперты продолжают отслеживать активность группировки и предупреждать клиентов о новых кампаниях.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »