Правоохранители из США, Италии, Испании, Франции, Греции, Австралии и Румынии провели совместную международную операцию Talent, в рамках которой были закрыты такие сайты, как cracked[.]io, cracked[.]to, nulled [.]to, starkrdp[.]io, mysellix[.]io и sellix[.]io. Европол и полиция Германии подтвердили арест двух подозреваемых и захват 17 серверов.
Cracked и Nulled — два крупных хак-форума, насчитывающих более 10 млн пользователей. В основном эти ресурсы были ориентированы на киберпреступность, кражу паролей, взлом и credential-stuffing атаки.
На сайтах также публиковались хакерские инструменты, включая тулзы и скрипты для поиска уязвимостей и оптимизации атак, конфиги для credential-stuffing инструментов (таких как OpenBullet и SilverBullet), и другой запрещенный контент, в том числе материалы, связанные со взломом ПО, комболисты с ворованными учетными данными и базами данных.
Ранее на этой неделе СМИ сообщили, что на Cracked, Nulled и других перечисленных выше доменах появились баннеры, информирующие о том что сайты (а также информация об их клиентах и жертвах) конфискованы правоохранителями в рамках операции Talent.
Также исследователи обратили внимание, что ФБР изменило name-серверы доменов с Cloudflare на ns1.fbi.seized.gov и ns2.fbi.seized.gov.
Как объясняло издание Bleeping Computer, StarkRDP (starkrdp[.]io) – это виртуальный хостинг-провайдер Windows RDP, который рекламировался на обоих хак-форумах и управлялся теми же людьми. А MySellIX и SellIX (sellix[.]io и mysellix[.]io) был платежными процессорами, которыми пользователи участники форумов.
Немецкие правоохранители заявили, что закрыли SellIX и StarkRDP, поскольку те «были непосредственной частью экономической сети [хакерских] платформ».
Операторы Cracked подтверждали конфискацию доменов в своем Telegram-канале и писали, что пока ожидают получения официальных документов от дата-центра и хостера. «Это по-настоящему печальный день для нашего сообщества», — гласило сообщение администрации.
Как теперь сообщило Министерство юстиции США, на Cracked было зарегистрировано более четырех миллионов пользователей, и размещалось порядка 28 млн объявлений о продаже инструментов для киберпреступников. Доход администраторов площадки правоохранители оценивают в 4 млн долларов США и подчеркивают, что жертвами злоумышленников стали более 17 млн человек только в США.
В свою очередь, на Nulled было зарегистрировано более пяти миллионов пользователей, размещалось порядка 43 млн объявлений, а годовой доход администрации оценивается в 1 млн долларов США.
«Оба этих форума, связанные с подпольной экономикой, обеспечивали быстрый выход на киберпреступную сцену. Эти сайты работали как универсальные магазины и использовались не только для обсуждения киберпреступлений, но и как площадки для продажи нелегальных товаров и хакерских услуг, включая украденные данные, вредоносное ПО и инструменты для взлома», — заявляет Европол.
Суммарно было захвачено 12 доменов Cracked и Nulled, а также ликвидированы другие связанные с ними сервисы, включая упомянутые Sellix и StarkRDP.
В период с 28 по 30 января 2025 года власти провели обыски на семи объектах недвижимости, изъяли более 50 электронных устройств и около 300 000 евро в виде наличных и криптовалюты.
«Изъятые данные (адреса электронной почты, IP-адреса и способы связи для примерно 10 млн зарегистрированных пользователей) станут основой для дальнейших международных расследований в отношении преступников, выступавших продавцами и пользователями этих платформ», — добавляют представители Федерального ведомства уголовной полиции Германии (Bundeskriminalamt, BKA).
Национальная полиция Испании уже сообщила об аресте двух подозреваемых, связанных с деятельностью Cracked и Nulled. Кроме того, по данным Минюста США, в Испании уже выдвинуты обвинения против 28-летнего Лукаса Сона (Lucas Sohn), одного из администраторов Nulled, который занимался эскроу-функциями на сайте.
Пока неясно, был ли Сона одним из двух арестованных подозреваемых. Если его признают виновным, ему грозит: пять лет лишения свободы за сговор с целью незаконного оборота паролей, 10 лет за мошенничество с устройствами доступа и 15 лет за мошенничество с личными данными.
