5 марта, 20:46
Привет, дорогие любители теневых схем и грязных денег! Сегодня стало известно о закрытии известного форума с украденными базами Leakbase.
3 марта спецслужбы 14 западных стран провели (https://www.europol.europa.eu/media-press/newsroom/news/major-data-leak-forum-dismantled-in-global-action-against-cybercrime-forum) обыски и аресты против 37 пользователей форума в 14 юрисдикциях. На следующий день были изъяты сервера LeakBase.
Накануне закрытия на LeakBase было зарегистрировано более 142 тысяч пользователей. Все они оказались скомпрометированы: в руки правоохранителей попали IP-логи пользователей и больше 215 тысяч личных сообщений.
Мы провели собственный анализ: админом форума оказался 33-летний мужчина из Ростовской области. На это указывает десятилетний цифровой след. Парадоксально, но администратор «одного из крупнейших» форумов со слитыми данными, похоже, вообще не задумывается о собственной анонимности.
⌨️История форума
LeakBase появился в 2021 году, но начал становиться по-настоящему популярным только в марте 2023 года — на фоне закрытия известной площадки Breached. Для раскрутки нового форума его создатель Chucky собственноручно выкладывал (https://t.me/breachdetect/228022) уже опубликованные на других сайтах утечки. Цель — раскрутить форум и превратить его в торговую площадку для хакеров. Всего за время существования Leakbase там было (https://analyzer.vecert.io/archive) опубликовано свыше 16 тысяч баз данных.
В какой юрисдикции были изъяты серверы LeakBase, западные спецслужбы не сообщают, но благодаря сайтам (https://website.informer.com/leakbase.la) с DNS-логами мы узнали: LeakBase пользовался услугами шведской компании Njalla. Это анонимный регистратор и хостинг, который можно оплатить в криптовалюте; его создал сооснователь The Pirate Bay Питер Сунде.
Минюст США назвал (https://www.justice.gov/opa/pr/united-states-leads-dismantlement-one-worlds-largest-hacker-forums) LeakBase «одним из крупнейших в мире хакерских форумов», однако это заявление вызвало смешки у пользователей форумов-конкурентов. Комментарии на BreachForumsReborn указывают (https://www.kelacyber.com/blog/law-enforcement-seizes-leakbase-/) на то, что часть сообщества не воспринимала LeakBase всерьёз.
🇷🇺Идентификация администратора
Главное правило российских хакеров: «не работай по RU». То есть не воруй деньги у россиян — и тогда тебя не тронет ФСБ. LeakBase — не исключение. Продажа связанных с Россией баз на форуме была запрещена.
Администратор и создатель LeakBase использует никнейм Chucky — в честь одноимённой хоррор-франшизы про куклу-убийцу. Он никогда не скрывал своего гражданства: у себя на форуме Chucky в открытую переписывался на русском языке. Мы решили копнуть поглубже.
В графе контактов на LeakBase у Chucky был указан его аккаунт в телеграме — @chuckybhf. Этот профиль был зарегистрирован на номер 33-летнего Артёма Кучумова из Таганрога.
Артём Игоревич имеет обширный цифровой след, в котором на его связь с Chucky указывает практически каждая запись. Например, его основная почта — это [email protected] — то есть она одновременно содержит его «хакерский» псевдоним и зарегистрирована компанией Apple. Дальше — еще лучше.
Ранее Артём использовал почту [email protected]. В утечке пользователей даркнет-сайта Doxbin эта почта связана с юзером Beakdaz. Это старый псевдоним (https://4pda.to/forum/index.php?showuser=7412071) Chucky, с которого тот начинал свою теневую карьеру больше десяти лет назад.
Связанные с этими никами почты Кучумов неоднократно использовал при покупке сим-карт, оплате хостингов и других ситуациях, когда нужно указывать паспортные данные. Ирония в том, что Chucky занимается торговлей слитыми базами — и как никто другой должен знать, что в России утечки данных происходят регулярно.
Пару лет назад на своей основной странице VK в графе «вдохновение» Кучумов написал «Darknet». А со своего «хакерского» аккаунта @chuckybhf Кучумов читал комментарии телеграм-канала «ЧП Таганрог». Кроме того, Кучумов использовал опубликованный (https://www.virusbulletin.com/uploads/pdf/conference/vb2023/papers/Sheeps-clothing-of-deep-dark-web-operators-there-are-no-secrets-you-can-hide-forever.pdf) на LeakBase аккаунт в Skype на сайте для покупки видеоигр c российских карт Plati.
То, что Артём Кучумов — Chucky, косвенно подтверждают выводы (https://www.kelacyber.com/blog/law-enforcement-seizes-leakbase-/) западных аналитиков. Они не называли настоящее имя Chucky, но указали на его связь с никнеймом Beakdaz и возможную дислокацию в Таганроге.
По данным из утечек, Кучумов ни разу не выезжал за границу. Если он продолжит в том же духе, то велика вероятность, что бывший администратор LeakBase останется на свободе.