ФБР снесло RAMP — и вымогатели размножились. Как 1 преступный форум превратился в гидру из 10 невидимых

В конце января 2026 года американские правоохранительные органы отключили одну из заметных площадок, вокруг которой годами крутилась координация вымогательских атак. Речь о форуме RAMP (Ransomware and Advanced Malware Protection), который с 2021 года служил местом встречи для операторов программ-вымогателей и их аффилиатов, то есть партнёров, которые заходят в сети жертв, разворачивают шифровальщик и делят прибыль с разработчиками. На RAMP не только искали "партнёров по работе", там обменивались инструментами, обсуждали тактику и торговали доступом к уже взломанным системам.

28 января 2026 года инфраструктуру форума изъяли ФБР при участии прокуратуры Южного округа Флориды и профильного подразделения Минюста США (DoJ), которое занимается компьютерными преступлениями и вопросами интеллектуальной собственности. А дальше началось то, что в подпольной среде обычно бьёт больнее любого отключения сервера: спор о том, кто и что успел забрать изнутри.

Вскоре после операции администратор RAMP под ником Stallman подтвердил на киберпреступных форумах XSS и Exploit, что площадку действительно изъяли, и заявил, что восстанавливать её не собирается. Почти сразу в обсуждениях пошли подозрения, что отключение могло быть инсценировкой или удобным способом уйти со сцены, а также обвинения в сотрудничестве с властями. Отдельным подтверждением изъятия стали наблюдения за доменной инфраструктурой: указывали, что серверы имён RAMP перенаправлены на мощности, контролируемые ФБР.

На этом фоне по Telegram начали расходиться скриншоты, которые выдавали за фрагменты базы данных RAMP. На изображениях, по утверждениям распространителей, были адреса электронной почты пользователей и приватные сообщения. Часть бывших участников форума публично признала, что некоторые элементы похожи на настоящие, и выразила опасения: если утечка реальна, под ударом оказываются регистрационные почты, личная переписка и детали операций, которые потом могут всплыть в расследованиях. Stallman, напротив, отрицал взлом и утверждал, что диски были зашифрованы, а скриншоты подделаны.

Единого мнения внутри сообщества так и не сложилось, но обсуждения быстро свелись к двум сценариям. Первый: базу данных украли ещё до изъятия, а затем отключение форума просто совпало по времени с появлением утечки. Второй: данные выгрузил человек с административными правами до операции или во время неё. Авторы обзора отмечают важную практическую деталь: даже если данные на дисках шифруются, это защищает их только в состоянии хранения. Когда система работает, содержимое базы всё равно доступно процессам, а значит, при доступе к серверу его можно извлечь. Параллельно ходили неподтверждённые слухи, что Stallman якобы пытался продать базу за 10 биткоинов, но доказательств этому не приводилось.

Сама по себе неопределённость уже стала фактором, который разгоняет хаос. К ней добавились претензии к модерации RAMP и к тому, как там применялись правила. В итоге в подпольной среде укрепился сюжет о том, что площадка могла быть скомпрометирована задолго до изъятия, а то и работать как ловушка. Публичных подтверждений, что RAMP специально вели правоохранители, опять же, нет. Но для таких сообществ репутация иногда важнее фактов: если участники начинают верить, что ресурс небезопасен, они уходят, даже не дожидаясь доказательств.

Обычно подобные преступные ресурсы через время возрождаются под другим именем. Но в случае с RAMP началось расселение по нескольким сайтам, причём сразу по двум типам площадок. С одной стороны, часть активности потянулась в закрытые сообщества с жёстким отбором. К примеру, в начале февраля появился T1erOne - закрытый форум, где вход строится на репутации и проверке, либо на платной регистрации в 450 долларов. Требование подтвердить активность на других подпольных ресурсах или заплатить за доступ работает как фильтр: отсеивает случайных людей, снижает риск внедрения и показывает, что администраторы делают ставку на узкий круг участников. Такой подход напоминает прежнюю модель RAMP, где тоже использовали верификацию или регистрационный взнос, чтобы ограничить доступ.

По наблюдениям исследователей, T1erOne прямо рекламирует, что обсуждение программ-вымогателей у них разрешено. Это важный сигнал на фоне других крупных форумов, которые стараются дистанцироваться от такой тематики. Например, на XSS, судя по обсуждениям, снова всплыл вопрос о запрете на набор аффилиатов для вымогательских схем, но администрация подтвердила, что запрет сохраняется, вероятно из-за риска усиленного внимания со стороны правоохранителей. На T1erOne, наоборот, ниша обозначена открыто, и ранние признаки указывают, что там уже появляются сообщения о партнёрских программах вымогателей. В обзоре отдельно отмечается активность группы Qilin, которая, по данным авторов, начала рекламировать на площадке модель RaaS (ransomware-as-a-service, вымогательство как услуга) для привлечения новых аффилиатов. Также упоминаются признаки присутствия группы Cry0.

Другая же часть сообщества ушла не в закрытые клубы, а на более доступные площадки. В обзоре описывается Rehub, форум, который существовал ещё до отключения RAMP. По доменным данным платформа активна как минимум с августа 2025 года, то есть её не создавали специально в качестве замены. Порог входа там значительно ниже: регистрация требует лишь логин, пароль и ответ на простой контрольный вопрос, без репутационных проверок и без платы.

Исследователи Rapid7 указывают, что на Rehub уже присутствуют некоторые известные участники вымогательского рынка. LockBit и группировка Gentlemen, по их данным, сохраняли активность на форуме ещё с сентября 2025 года, то есть задолго до истории с RAMP. Группа DragonForce, как отмечается, зарегистрировалась на Rehub в тот же день, когда RAMP ушёл в офлайн. На площадке также находят публикации, где открыто рекламируют или обсуждают предложения по RaaS.

Всё это - отличная иллюстрация того, что обычно происходит после крупных отключений подобных ресурсов. Вместо одного центра появляются параллельные площадки, часть из них закрывается и ужесточает вход, часть наоборот остаётся открытой и быстро набирает трафик. Исторический пример в обзоре тоже приводится: после закрытия RaidForums в 2022 году заметная доля пользователей и активности перетекла на BreachForums, и рынок продолжил жить уже в новой оболочке.

Но для правоохранителей главный факт не в том, что исчез форум с громким названием, а в том, что уменьшается видимость. Когда сообщество расползается по разным уголкам даркнета, а часть общения перемещается в закрытые сообщества, сложно оценивать картину целиком. Авторы предлагают смещать фокус с наблюдения за отдельными площадками на отслеживание миграции акторов: кто куда переходит, где появляется набор аффилиатов, какие сигналы указывают на сбор новой партнёрской сети, и как это соотносится с реальными вторжениями.