Есть кто живой? Киберпреступные форумы в 2026. Или почему больше нет центра зла

Киберпреступные форумы часто используются для продажи, распространения ВПО, раздачи/продажи утечек, доступов к компаниям, интернет магазинам и не только. Часто можно услышать что форумы умирают, нет прежней активности по причине резкого развития ИИ. Если раньше большинство вопросов решались через форумы или специализированные площадки из разряда stack overflow, то теперь claude[.]ai или chatgpt решают большинство вопросов в подпольной среде, если правильно обратиться с просьбой к. А группировки (APT) уже самостоятельно обучают свои модели локально для них не существует слово "цензура". Но так или иначе форумы все равно никуда ушли, вся коммерческая деятельность до сих пор происходит там. Одна платформа закрывается - на ее место приходят две другие.

Статья подготовлен для компаний, госструктур и специалистов по ИБ, которые следят за актуальным состоянием киберпреступного подполья. Понимание того, как устроены даркнет-форумы, помогает выстраивать проактивную защиту и своевременно обнаруживать угрозы.

Самая громкая новость которая произошла относительно недавно - арест администратора xss.is. По данным европола гражданин Украины держал платформу, которая была местом для размещения русскоязычных киберпреступников.

Европол с партнерами арестовали администратора в Киеве, который по всей видимости имел только доступ к админке xenforo, депозитам пользователей, жаберу. Вся инфраструктура по всей видимости обслуживалась другими людьми, которые не досягаемы для Европола/ФБР в связи с своего расположения. Возможно администратор заранее знал, что к нему возможно придут в связи с напряженной геополитической ситуации.

Результаты:

1. Спецслужбы изъяли депозиты хакеров 45 btc, 1348 ltc
2. Форумный jabber thesecure[.]biz изъят спецслужбами
3. Приход новой администрации к власти, смена домена. И частичная компенсация депозитов с дохода форума.
4. Все старые модераторы заблокированы
5. Выход новых форумов DamageLIB и DutyFree

Как демонстрирует практика - киберпреступность не остановить. Злоумышленники просто сменили локацию, переместились на другие борды или же продолжили свою деятельность на новом xss под другим ником.

По сути больше нет центра зла. Целевая аудитория разделилась на некоторое количество форумов. Преступники связанные с кардингом переместились на платформу styx.

Равным образом на рынке появился форум Duty-Free, который успел засветиться в списке форумов для мониторинга в ресерче от flare.io и равным образом в analyst1 подметили, что на этой платформе размещаются "Qilin" злоумышленники, которые шифруют файлы и просят перевести деньги на их подконтрольные сервера.

В DutyFree вливаются подозрительно большие инвестиции, будет интересно посмотреть как администратор собирается отбивать вложенное.

DamageLIB это создание бывших модераторов xss.is. На форуме запрещена коммерческая деятельность, а также площадка доступна только через onion.

Итак киберпреступные площадки продолжают существовать даже после арестов администраторов, поскольку такие проекты не создаются в одиночку. Как демонстрирует практика ФБР/Европол бессильны против таких платформ, поскольку вся инфраструктура находится за пределами их юрисдикции. В 2026 году администраторы подпольных форумов все чаще стали отказываться от решений cloudflare для защиты форума в пользу российского ddos-guard что еще более усугубило ситуацию для товарища майора в связи с океана.

В следующей части будут разобраны площадки более детально.