Principaux forums russes sur la cybercriminalité en 2023

Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc "BLOG" à l'intérieur. En dessous, il y a un texte blanc : "Les meilleurs forums russes sur la cybercriminalité en 2023". Il y a un texte blanc sous celui qui dit "En savoir plus" avec une flèche orange clair pointant vers le bas.

Les forums sur la cybercriminalité offrent aux acteurs de la menace un débouché pour coordonner, échanger des informations et mener des transactions illicites. Souvent hébergés sur le dark web (mais parfois accessibles via le clear web), ces forums sont des centres d'activités malveillantes. La structure typique d'un forum sur la cybercriminalité voit une section de marché dédiée qui facilite la vente d'identifiants volés, rançongiciel en tant que service, et les logiciels malveillants tandis qu'une section distincte est réservée aux discussions générales sur la cybercriminalité. 

Ce n'est un secret pour personne que la Russie est une véritable capitale de la cybercriminalité. Une analyse récente suggère 74 pour cent des revenus des rançongiciels vont aux acteurs de la menace liés à la Russie. Au-delà de la cybercriminalité à but lucratif, la Russie a également une histoire bien documentée de conduite cyberguerre parrainée par l'État

Du point de vue du renseignement sur les menaces, il est avantageux de surveiller les forums de cybercriminalité pour les mentions de votre organisation. La surveillance de ces forums peut fournir des indications sur une attaque imminente contre votre entreprise ou révéler des identifiants d'utilisateurs à vendre, dont vous pouvez ensuite réinitialiser les comptes de manière préventive avant qu'ils ne soient infiltrés. Cet article se penche sur les principaux forums russes sur la cybercriminalité qui méritent d'être surveillés en 2023.

Principaux forums russes sur la cybercriminalité

Exploiter.dans

Capture d'écran du forum avec le titre "Exploit.in" en haut à gauche. Le reste de la page Web partage une description du site et du forum, divers projets et des sections sur les publications sur le piratage.
Cet extrait de la capture d'écran de la page d'accueil du forum Exploit.in montre une section "À propos" et différentes catégories pour les messages sur le piratage.

Exploit est l'un des forums de piratage clandestin les plus anciens, ayant été lancé en 2005. Comme son nom l'indique, l'objectif initial du site était de fournir un lieu aux acteurs malveillants pour discuter des exploits fonctionnels pour diverses vulnérabilités. Exploit a naturellement évolué pour englober des discussions sur d'autres types d'activités de cybercriminalité, des techniques d'ingénierie sociale aux tutoriels sur la rupture des algorithmes cryptographiques. 

Ce forum est un forum principalement en langue russe avec une section de marché où les cybercriminels échangent des détails de carte de crédit volés, des logiciels malveillants et même exploits zero-day. Explicit fonctionne également comme un site d'information sur la cybercriminalité. Fait intéressant, ce forum est accessible via les navigateurs Internet standard sur le Web clair et via le Web sombre à l'aide du navigateur Tor. 

Pour accéder et participer aux discussions du forum, les pirates paient des frais de 100 $ pour l'accès automatique ou ils peuvent tenter d'obtenir un accès gratuit à condition qu'ils aient établi une réputation sur d'autres forums "amicaux". Bien que ces conditions fassent techniquement d'Exploit un forum fermé, il est peu probable que des frais de 100 $ dissuadent les entreprises d'enregistrer de faux comptes à surveiller à des fins de renseignement sur les menaces. 

Les administrateurs d'exploitation ont dû faire face à une brèche en 2021 qui a vu un intrus obtenir un accès Secure Socket Shell (SSH) à un serveur proxy qui protégeait le site des attaques DDoS. Cette violation du forum faisait partie d'un groupe plus large de quatre violations frappant divers forums clandestins sur la cybercriminalité dans un court laps de temps. 

XSS.est

Capture d'écran du forum avec le titre "XSS.is" en haut à gauche. Le reste de la page d'accueil comporte différentes sections intitulées "Underground". Le fond est blanc.
Cet extrait de la page d'accueil du forum XSS.is héberge différentes sections sous l'étiquette "Underground".

XSS est un autre forum fermé en langue russe accessible sur le Web clair et le Web sombre. Les administrateurs promettent diverses fonctionnalités de sécurité et d'anonymat pour protéger les utilisateurs enregistrés, notamment la désactivation des journaux d'adresses IP pour tous les utilisateurs et les actions des utilisateurs et la mise en œuvre de messages privés cryptés. Il n'y a pas beaucoup d'obstacles à l'inscription sur XSS - les nouveaux utilisateurs sélectionnent simplement leurs informations d'identification, saisissent un e-mail valide, répondent à une question de base sur la cybersécurité et attendent l'approbation de l'administrateur du site.

Le contenu sur XSS concerne les discussions et les échanges d'accès aux informations d'identification, les exploits et les précieuses vulnérabilités du jour zéro pour lesquelles aucun correctif de sécurité n'existe. Des sections privées exclusives supplémentaires sur XSS nécessitent un paiement pour y accéder. Auparavant, XSS était largement utilisé pour recruter des affiliés pour les gangs de ransomwares en tant que service, mais les administrateurs du forum ont interdit les sujets de ransomwares en 2021. 

Automate Your Threat Exposure Management

Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

Le nom de ce forum russe sur la cybercriminalité provient d'un type de vulnérabilité d'application Web connue sous le nom de script intersite. Le site était connu sous le nom de DaMaGeLaB de 2013 jusqu'à l'arrestation d'un administrateur en 2018, date à laquelle il a été rebaptisé XSS.

Forum RAMP

La formation du forum RAMP 2.0 (Russian Anonymous Market Place) en 2021 a une histoire intéressante, ayant été lancée sur un domaine précédemment utilisé par le célèbre gang de rançongiciels Babuk. 

L'opération de ransomware Babuk a mené des attaques de ransomware sur Département de la police métropolitaine de Washington DC et équipe de basket-ball des Houston Rockets. Les acteurs de la menace de Babuk utilisaient auparavant ce domaine oignon du dark web pour publier des données volées lorsque les victimes refusaient de céder à leurs demandes de ransomware. 

Une version précédente de RAMP existait de 2012 à 2018 sur un domaine différent, mais elle était plus centrée sur l'achat et la vente de produits illégaux. Les forces de l'ordre russes ont fermé la première version de RAMP, mais une nouvelle version est apparue, axée sur la cybercriminalité. Les sections de forum populaires incluent un programme partenaire pour les groupes de rançongiciels, une section sur les logiciels malveillants et une autre section dédiée à la vente d'accès aux comptes d'entreprise. 

L'inscription à RAMP 2.0 nécessite d'être un membre actif d'Exploit et de XSS pendant au moins deux mois. Une bonne réputation sur les deux forums est également essentielle pour accéder à RAMP. Les options linguistiques du forum sont passées du russe uniquement au mandarin et à l'anglais.  

Vérifié et Maza

Capture d'écran du forum Vérifié. L'arrière-plan est bleu marine. Le reste de la page d'accueil comporte différentes sections intitulées Avis, Services, Forum et Principal.
Cet extrait de la page d'accueil du forum Vérifié héberge différentes sections telles que Avis, Services, Forum et Principal.

Verified est un forum populaire sur la cybercriminalité en langue russe qui existe depuis plus d'une décennie, tandis que Maza est un forum russe d'élite sur la cybercriminalité depuis 2003. Ces forums méritent d'être discutés ensemble en raison de ce qui leur est arrivé au début de 2021.

Dans le cadre d'une série d'attaques sur un certain nombre de forums russes sur la cybercriminalité, Verified et Maza ont subi de graves violations. Dans le cas de Maza, les membres du forum qui se connectaient ont été accueillis par un message indiquant que leurs données avaient été divulguées et que le forum avait été compromis. Verified a subi un sort similaire, avec des opérateurs anonymes détournant le forum. 

Les violations et les démantèlements des forums de cybercriminalité ne signifient pas nécessairement qu'ils seront définitivement fermés. Ces forums réapparaissent souvent après un certain temps. Il convient de se demander si les incidents qui ont frappé les deux forums ont conduit à la montée en puissance de l'adoption récente de Groupes de télégrammes comme alternative aux forums et marchés traditionnels de la cybercriminalité. Peut-être que les cybercriminels ont eu peur des membres de ces forums dont les noms d'utilisateur et les adresses e-mail ont été rendus publics. 

Surveillance automatisée de l'exposition à haut risque

Les forums russes sur la cybercriminalité et d'autres domaines du dark web sont des ressources utiles qui méritent d'être surveillées pour détecter les fuites d'informations d'identification et les indicateurs d'attaques ciblées. Cependant, la surveillance manuelle des principaux forums est une recette pour une correction lente et des données de menaces bruyantes. Et la plupart des organisations manquent de ressources pour que les analystes de la cybersécurité puissent suivre le paysage des forums en constante évolution. 

La solution de surveillance du dark web de Flare automatise la surveillance des forums et marchés illicites. Vous recevez également des alertes en temps réel si votre entreprise ou vos actifs sont mentionnés sur le dark & ​​clear web ou si un risque élevé de prise de contrôle de compte est détecté. 

Obtenez votre essai gratuit de Flare ici. 

Partagez cet article

Contenu similaire