Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, обнаружила на теневом хакерском форуме объявление о продаже базы данных, предположительно, принадлежащей российскому хостинг-провайдеру DDoS-Guard. Кроме базы, якобы содержащей информацию о клиентах DDoS-Guard, включая их имена, IP-адреса и платежную информацию, продавец предлагает купить исходный код инфраструктуры компании. Проверить подлинность данных пока не представляется возможным, поскольку продавец не предоставил образец базы.

Сообщение о продаже базы данных, предположительно, принадлежащей российскому хостинг-провайдеру DDoS-Guard система Group-IB Threat Intelligence & Attributions обнаружила 26 мая на популярном хакерском форуме exploit[.]in. Автор объявления сначала выставил лот на аукцион со стартовой ценой в $500 000, вскоре снизив цену до $350 000.

Злоумышленник, утверждавший, что предлагает базу клиентов DDoS-Guard, зарегистрировал свою учетную запись на exploit[.]in в январе 2021 года, и с тех пор пытался купить доступы к различным корпоративным сетям. Несмотря на регулярную активность, его аккаунт до сих пор не имеет высокой репутации, также у него отсутствует депозит, который обычно говорит о серьёзности намерений продавца. Отмечу, что это уже второй его аккаунт — первый был заблокирован ещё в 2020 года за отказ проводить сделки через „гарант“.

Олег Дёров

Аналитик Group-IB Threat Intelligence

DDoS-Guard (ООО "ДДОС-ГВАРД)) — российская компания, которая предоставляет услуги по обеспечению защиты от DDoS-атак, доставке контента и веб-хостинга. Компания получила международную известность после политического скандала: в январе 2021 года DDoS-Guard предоставлял свои хостинг-мощности для популярной среди сторонников экс-президента США Дональда Трампа соцсети Parler после того, как ей было отказано в услугах веб-хостинга на платформе AWS. В России под защитой DDoS-Guard находятся десятки известных ресурсов, в том числе reg.ru, «Аргументы и Факты», «Эхо Москвы», Министерство обороны РФ и др.

В прошлогоднем отчете Group-IB о теневых покровителях онлайн-пиратства, DDoS-Guard была названа в числе тех, чьи услуги по хостингу и защите от DDoS используют злоумышленники: интернет-пираты, скамеры, онлайн-казино. Например, в настоящее время Роскомнадзор ограничивает доступ пользователей к 4 000 ресурсов (домены или URL-адреса), которые размещены или размещались на сетевых адресах DDoS-Guard: кроме пиратских ресурсов (48%), РКН блокирует многочисленные сайты азартной тематики (45%), магазины наркотиков (4%), в том числе RCclub и зеркала Hydra.

Одним из инструментов борьбы с мошенничеством и финансовым фишингом является работа с хостинг-провайдером. Большинство легальных сервисов идут на сотрудничество, заботясь о безопасности пользователей. Однако, DDoS-Guard не входит в их число. Различные „мутные“ сайты используют услуги DDoS-Guard как поставщика-защиты от DDoS-атак, тем самым скрывая реальный хостинг. На наши многочисленные уведомления, что они защищают нелегальные ресурсы представители компании отвечают, что они не являются владельцами сайта, и не могут модерировать или удалять информацию, а администратору сайта предоставляют только защиту от DDoS. Наличие подобной „безопасной среды“ для незаконной онлайн-активности не приносит никакой пользы, более того — серьезно мешает глобальным усилиям по борьбе с киберпреступностью.

Ярослав Каргалев

Заместитель руководителя CERT-GIB