В конце января 2026 года правоохранительные органы провели одну из наиболее заметных операций против киберпреступной инфраструктуры: хак-форум RAMP, долгое время остававшийся одной из немногих открытых площадок для продвижения вымогательского ПО (ransomware), был закрыт. Как основная веб-версия по адресу ramp4u[.]io, так и ресурс в сети Tor теперь отображают сообщение о конфискации, указывающее на участие нескольких подразделений Министерства юстиции США.
Как проходила операция против хак-форума RAMP
Судя по баннеру на захваченном домене, операция проводилась совместно с Прокуратурой США по Южному округу Флориды и отделом по компьютерным преступлениям и интеллектуальной собственности (CCIPS) Министерства юстиции США. Формального пресс-релиза на момент появления баннера опубликовано не было, однако технические признаки указывают на стандартный для ФБР сценарий конфискации инфраструктуры.
DNS-записи домена ramp4u[.]io были переключены на серверы ns1.fbi.seized.gov и ns2.fbi.seized.gov, которые традиционно используются для доменов, изъятых в рамках уголовных расследований. Это позволяет властям централизованно отображать уведомление о конфискации и предотвращает дальнейшее использование ресурса киберпреступниками.
На момент блокировки неясно, получили ли правоохранители полный доступ к базам данных форума, включая учетные записи пользователей, переписку и историю сделок. Эта деталь критически важна для оценки масштабов удара по экосистеме вымогательского ПО: подобные данные нередко становятся основой для дальнейших задержаний, деанонимизации операторов и партнеров ransomware-группировок.
Реакция администрации RAMP и подтверждение конфискации
Факт захвата ресурса был публично подтвержден на другом крупном хакерском форуме XSS. Один из бывших администраторов RAMP под ником Stallman сообщил, что форум перешел под контроль правоохранительных органов. В его обращении подчеркивается, что закрытие фактически обнулит многолетнюю работу по развитию площадки, позиционировавшей себя как «самый свободный форум в мире».
Подобные заявления важны не только как эмоциональная реакция администратора, но и как сигнал сообществу киберпреступников: факт конфискации признан изнутри, а значит, любые дальнейшие попытки доступа к прежней инфраструктуре ресурса несут повышенные риски компрометации и слежки со стороны правоохранителей.
Роль форума RAMP в экосистеме вымогательского ПО
Почему RAMP стал ключевым игроком на рынке ransomware
Форум RAMP появился в июле 2021 года на фоне заметного изменения политики крупных русскоязычных хакерских площадок. После резонансной атаки группировки DarkSide на Colonial Pipeline многие форумы ввели запрет на рекламу и вербовку для вымогательских операций. Это было связано с беспрецедентным политическим и правоохранительным давлением со стороны западных государств.
На этом фоне RAMP занял нишу “последнего убежища” для операторов вымогательского ПО и их партнеров. Площадка открыто позиционировалась как место, где реклама ransomware, подбор аффилиатов и обсуждение схем вымогательских атак не только допустимы, но и поощряются.
Какие услуги и активности развивались на форуме
RAMP использовался для целого набора типичных для рынка киберпреступности услуг, связанных с вымогательским ПО:
— рекрутинг аффилиатов для ransomware-as-a-service (RaaS) программ, когда разработчики малвари привлекают партнеров для проведения атак и делят с ними выкуп;
— продажа и покупка доступов к скомпрометированным корпоративным сетям (initial access brokerage), что позволяет резко сокращать время подготовки атаки;
— обмен и продажа вредоносного ПО, эксплойтов и инструментов lateral movement внутри сетей;
— обсуждение тактик, техник и процедур (TTPs), помогающих обходить средства защиты, резервное копирование и системы обнаружения.
В совокупности это делало форум RAMP одним из ключевых узлов современной экосистемы вымогательского ПО, особенно в русскоязычном сегменте киберпреступного подполья.
Последствия закрытия RAMP для киберпреступников и бизнеса
Конфискация RAMP вряд ли приведет к мгновенному исчезновению вымогательских атак, однако создает значительные операционные издержки для злоумышленников. Потеря крупной доверенной площадки усложняет:
— поиск новых партнеров и квалифицированных исполнителей;
— быстрый оборот украденных доступов к сетям;
— репутационную оценку участников (рейтинги, отзывы, эскроу-сделки).
История аналогичных операций против forum-площадок (например, закрытие крупных англоязычных хакерских форумов в прошлые годы) показывает: экосистема адаптируется, но фрагментируется. Участники уходят в более закрытые каналы — приватные чаты, закрытые клубы, малые форумы. Это снижает прозрачность рынка, но одновременно уменьшает для преступников «экономию от масштаба».
Для компаний и организаций по всему миру такое окно турбулентности — шанс усилить кибербезопасность: пересмотреть стратегии защиты от ransomware, обновить планы реагирования на инциденты и провести аудит доступов, резервного копирования и сегментации сетей.
Закрытие хак-форума RAMP демонстрирует, что инфраструктура вымогательского ПО остается приоритетной целью для международных правоохранительных органов. Однако устойчивость рынка ransomware заставляет бизнес опираться не только на действия ФБР и других агентств, но и на собственную зрелость в области кибербезопасности. Регулярное резервное копирование, многофакторная аутентификация, сегментация сети, обучение персонала фишингу и постоянный мониторинг аномальной активности — минимальный набор мер, который помогает снизить вероятность успешной атаки и минимизировать ущерб даже в условиях продолжающейся эволюции киберпреступного подполья.
