В результате масштабной международной операции Talent правоохранительные органы семи стран успешно ликвидировали две крупнейшие платформы киберпреступников — форумы Cracked и Nulled. Совместные действия спецслужб США, Италии, Испании, Франции, Греции, Австралии и Румынии привели к аресту подозреваемых и конфискации серверной инфраструктуры.
Масштаб и значимость закрытых площадок
По данным Министерства юстиции США, форум Cracked насчитывал более 4 миллионов зарегистрированных пользователей и содержал около 28 миллионов объявлений о продаже хакерских инструментов. Площадка Nulled была ещё крупнее — более 5 миллионов пользователей и 43 миллиона публикаций. Совокупный годовой доход администраторов этих ресурсов оценивается в 5 миллионов долларов США.
Инфраструктура и связанные сервисы
В ходе операции были закрыты не только основные форумы, но и связанные с ними сервисы: платежные процессоры MySellIX и SellIX, а также хостинг-провайдер StarkRDP. Правоохранители изъяли 17 серверов и получили контроль над 12 доменными именами. ФБР перенаправило DNS-записи доменов на свои серверы, подтверждая полный контроль над инфраструктурой. Типология угроз, распространявшихся через эти форумы, подробно задокументирована в базе данных MITRE ATT&CK.
Результаты расследования и аресты
В конце января 2025 года были проведены обыски семи объектов недвижимости, в ходе которых изъято более 50 электронных устройств и около 300 000 евро в наличных и криптовалюте. Испанская полиция арестовала двух подозреваемых, включая 28-летнего Лукаса Сона, администратора Nulled. Ему грозит до 30 лет лишения свободы за различные киберпреступления.
Кто пострадал от деятельности Cracked и Nulled
По оценкам следствия, жертвами деятельности этих платформ стали:
- Более 17 миллионов человек только в США, чьи персональные данные и учётные записи продавались на форумах
- Организации, подвергшиеся атакам с использованием инструментов, приобретённых на этих площадках
- Около 10 миллионов зарегистрированных пользователей форумов, чьи данные теперь находятся в распоряжении правоохранителей
- Компании, использовавшие StarkRDP для хостинга: их данные могли быть скомпрометированы в ходе изъятия серверов
Что необходимо предпринять пострадавшим
- Проверить утечку своих данных через сервисы мониторинга, например Have I Been Pwned, — данные с форумов уже могли попасть в публичный доступ
- Сменить пароли на всех сервисах, особенно если использовались одинаковые учётные данные на нескольких платформах
- Включить двухфакторную аутентификацию на всех критически важных аккаунтах
- Организациям: провести аудит сетевого трафика на предмет индикаторов компрометации, связанных с инструментами, распространявшимися через Cracked и Nulled
- Сообщать о подозрительной активности в Европол или национальные киберпреступные подразделения
Правоохранители подчёркивают, что полученные в ходе операции данные об участниках форумов послужат основой для дальнейших расследований и новых арестов в 2025–2026 годах.
