- После ареста администратора xss.is пользователи и продавцы начали переходить на другие площадки, в том числе DutyFree, Styx и DamageLIB.
- По данным Europol, у фигуранта изъяли 45 BTC и 1348 LTC, а связанный с форумом Jabber-сервис thesecure[.]biz перешел под контроль силовиков.
- На xss.is сменилась администрация и домен, часть депозитов пользователям пообещали компенсировать за счет доходов площадки.
После ареста администратора xss.is русскоязычное киберпреступное сообщество не исчезло, а быстро перераспределилось по другим форумам и даркнет-площадкам. Одни пользователи остались на обновленном xss.is с новой администрацией, другие ушли на DutyFree, Styx и DamageLIB. Фактически крупная площадка потеряла роль единого центра, а активность разошлась по нескольким сервисам.
Сам арест в Киеве ранее подтвердил Europol. По данным ведомства, задержанный администратор был связан с одной из крупнейших русскоязычных площадок для киберпреступников. В ходе операции силовики изъяли криптовалютные депозиты пользователей — 45 биткоинов и 1348 лайткоинов. Кроме того, под контроль правоохранителей попал форумный Jabber-сервис thesecure[.]biz — это мессенджер, который участники подполья использовали для общения и сделок.
После удара по xss.is площадка не прекратила работу полностью: у нее появилась новая администрация, сменился домен, а прежние модераторы были заблокированы. Часть средств на депозитах, как утверждается, решили компенсировать из доходов форума. Параллельно появились и новые точки притяжения. В материале упоминается DutyFree, который уже попал в списки площадок для мониторинга у профильных исследователей, а также Styx, куда, по описанию автора, перешла часть аудитории, связанной с кардингом — кражей и продажей данных банковских карт.
Отдельно выделяется DamageLIB. Эту площадку, как утверждается, запустили бывшие модераторы xss.is. Для доступа к ней нужен onion-адрес, то есть сайт работает только через сеть Tor. При этом на форуме, по описанию источника, запрещена коммерческая деятельность, что отличает его от классических подпольных рынков и досок объявлений.
Силовые операции против даркнет-форумов и их администраторов проходят не впервые, но после закрытий и арестов аудитория обычно мигрирует на другие площадки. В этом случае часть инфраструктуры xss.is сохранилась, а часть активности ушла к новым и уже существующим сервисам.
Для специалистов по безопасности это означает, что мониторинг одной крупной площадки больше не дает полной картины. Риски и признаки подготовки атак теперь могут распределяться между несколькими форумами, чатами и сервисами связи.
