Хакеры или бизнесмены? Кто стоял за Cracked и Nulled

В конце января ФБР совместно с европейскими правоохранительными органами провело масштабную операцию по ликвидации двух крупных англоязычных киберпреступных форумов — Cracked и Nulled. Эти платформы, насчитывавшие миллионы пользователей, использовались для торговли украденными данными, инструментами для взлома и вредоносным программным обеспечением. Однако расследование показывает, что за закрытыми доменами стоит целая сеть компаний, предоставляющих услуги по анонимности и обработке платежей.

30 января Министерство юстиции США объявило о захвате восьми доменов, связанных с форумом Cracked, который был создан в 2018 году и к моменту закрытия насчитывал более четырёх миллионов пользователей. В рамках операции, получившей название «Operation Talent» (Операция «Талант»), также были заблокированы домены платёжного процессора Sellix и анонимных хостинг-сервисов StarkRDP[.]io и rdp[.]sh, предоставлявших услуги по аренде виртуальных серверов.

Расследование , опубликованное исследователем Брайаном Кребсом, указывает на ключевых игроков в управлении этими ресурсами. Обе RDP-платформы принадлежали компании 1337 Services GmbH, зарегистрированной в Гамбурге, Германия. Согласно корпоративным данным Northdata.com, компания контролируется двумя лицами: 32-летним Флорианом Марцалем и 28-летним Финном Александром Гримпе. Любопытно, что имя последнего совпадает с ником основателя форума Nulled — «Finndev».

Гримпе также числится основателем компании DreamDrive GmbH, занимающейся арендой элитных автомобилей и мотоциклов. По данным Intel 471, пользователь с ником «Finndev» регистрировался и на ряде других киберпреступных форумов, включая Raidforums (закрыт ФБР в 2022 году), Void.to и сервис DDoS-атак vDOS. Кроме того, адрес электронной почты «f.grimpe@gmail[.]com»использовался для регистрации нескольких доменов, включая nulled[.]lol и nulled[.]it.

Другой фигурант, использующий псевдоним «FlorainN», вёл активность на различных форумах, используя электронную почту «olivia.messla@outlook[.]de». Анализ утечек данных показал, что этот адрес был связан со множеством других аккаунтов, в том числе с почтовыми ящиками «florianmarzahl@hotmail[.]de»и «fmarzahl137@gmail[.]com».

Судя по всему, киберпреступные форумы Cracked и Nulled сами неоднократно становились объектами взломов. В ходе утечек, зафиксированных Intel 471, выяснилось, что пользователи неоднократно называли Finndev владельцем платформы shoppy[.]gg, аналогичной Sellix. Интересно, что Shoppy не попала под удар «Operation Talent» и продолжает работу. По данным Northdata, юридическая регистрация Shoppy Ecommerce Ltd. связана с Израилем, однако информации о владельцах компании нет.

В ходе операции был арестован 29-летний аргентинец Лукас Сон, один из предполагаемых администраторов Nulled. Однако о других арестах или выдвинутых обвинениях пока не сообщается. Между тем, владельцы 1337 Services GmbH, судя по их сообщениям в Telegram, не намерены сворачивать деятельность. В публикации от 30 января администрация StarkRDP заявила, что компания действовала в рамках закона, сервера клиентов не пострадали, и в ближайшее время сервис возобновит работу под новым названием.

Правоохранительные органы продолжают расследование, а владельцы закрытых ресурсов, похоже, готовятся к возвращению на теневой рынок.