В Киеве арестован администратор крупнейшего русскоязычного киберфорума XSS, заработавший свыше €7 млн на киберпреступлениях

[Axiopoinos]

Одно вот интересно . Как ты знаешь что он открывал профили пользователей и читал с ними переписки ? Там ЛС переписки шифруются и без ключа шифрования хер ты их прочтёшь

Там переписки-то шифруются, но человек 30-40 следило за его активностью ночью. На XSS, как и на DM, у пользователей пишется, когда он был онлайн и что он делал. Тем более, если он онлайн находился, то люди видели, что он смотрел (переписки сами не видны, видно, что он в диалоге с кем-то находится)

 

[KZmoneyKZ]

Там переписки-то шифруются, но человек 30-40 следило за его активностью ночью. На XSS, как и на DM, у пользователей пишется, когда он был онлайн и что он делал. Тем более, если он онлайн находился, то люди видели, что он смотрел (переписки сами не видны, видно, что он в диалоге с кем-то находится)

Там в настройках можно поставить что не кто не будет видеть твою активность . И если не ошибаюсь у Тохи эта функция была включена . Как мне кажется были задержаны sis админы Дамаги . Ну не кто до конца не знает правды и не узнает

 

[Axiopoinos]

Там в настройках можно поставить что не кто не будет видеть твою активность . И если не ошибаюсь у Тохи эта функция была включена . Как мне кажется были задержаны sis админы Дамаги . Ну не кто до конца не знает правды и не узнает

Щас найду, у тохи эта функция не включена и активности отображается, я вчера в перерывах заходил выкачать пару статей и видел его:

 

[ABAI OBNAL]

Невероятно, как всё было выстроено — шифры, серверы, сделки, и всё под его контролем столько лет! Настоящий мастер своего дела. Ещё более поразительно, что спустя почти 20 лет его всё же смогли поймать — операция на высочайшем уровне.

 

[Anton Chigurh]

Их накрывали всегда, начиная с cardingworld в 10 году. Сейчас механизмы усовершенствовались.
И кстати наука тем кто любит писать контакты в пм в открытом виде и пользоваться мессенджерами на жабе от форумов.
Не хотите чтобы вас связали со всеми вашими профилями, думайте головой

Как там на аватарке у админа было, помнишь? Твоя тачка, твоя девушка, твой дропод 😂
Клоунворлд был не первый, думаю, что и кардерплэнет был не первый.

 

[KZmoneyKZ]

Щас найду, у тохи эта функция не включена и активности отображается, я вчера в перерывах заходил выкачать пару статей и видел его:

Мой совет лучше не заходи на данный момент пока не будет ясности .

 

[Axiopoinos]

Мой совет лучше не заходи на данный момент пока не будет ясности .

Совет дельный, потому что сертификаты поменяли на всех сайтах у них, как показывает сканер

 

[Anton Chigurh]

Мой совет лучше не заходи на данный момент пока не будет ясности .

Да а что там не понятно-то? Его приняли, сейчас будут юзать форум, чтобы как можно больше народу принять. Стандартная практика. Вот эти все разговоры - приняли не того, не всё потеряно, ввх продолжает же работать 😆 Это всё уровень безмозглости. Приняли администрацию - всё, бежать оттуда сломя голову.

P.S. А лошьё пусть продолжает сидеть в комфортной чекистской телеге!

 

[Anton Chigurh]

Тенденция набирает обороты: Европолы и прочие СС активно прикрывают подобные форумы - в основном EN.

Больше даркнет площадок - больше приёмок.

 

[Imperial Prime]

Все мы уязвимы, хоть как ты прячься. Надо будет любого размотают, тут вопрос больше в том что ты делаешь и на сколько интересен.

 

[Axiopoinos]

По новой информации с форума, взяли всё же Тоху, он же admin, который управлял форумом последние лет 7-8. Кто сейчас сидит на аккаунте — неизвестно, но поступило такое сообщение (пользователи подметили, что при входе по этому домену идёт редирект):

Сейчас появилось ещё много фоток с самого задержания, опубликованных в пресс-релизах СБУ:

 

[KZmoneyKZ]

Да а что там не понятно-то? Его приняли, сейчас будут юзать форум, чтобы как можно больше народу принять. Стандартная практика. Вот эти все разговоры - приняли не того, не всё потеряно, ввх продолжает же работать 😆 Это всё уровень безмозглости. Приняли администрацию - всё, бежать оттуда сломя голову.

P.S. А лошьё пусть продолжает сидеть в комфортной чекистской телеге!

По сути им нужны только те кто работал с шифровальщиками . ЛохБит ещё в том году ущёл с Дамаги .

 

[Anton Chigurh]

По сути им нужны только те кто работал с шифровальщиками . ЛохБит ещё в том году ущёл с Дамаги .

Бро, согласись, это твои догадки и самоуспокоение ) Кто мусорам там нужен - известно только им самим. Даже если был не интересен, по каким-то причинам заинтересовать может любой.

 

[KZmoneyKZ]

Бро, согласись, это твои догадки и самоуспокоение ) Кто мусорам там нужен - известно только им самим. Даже если был не интересен, по каким-то причинам заинтересовать может любой.

Бро это не догадки . Не просто так поубирали все темы с шифровальщиками . Не просто так приняли много груп которые работали по этой теме .

 

[RoadMas]

Актив очень сильно просел, но держится 250+ пользователей) камикадзе ничего не боятся))

 

[Axiopoinos]

Наткнулся на один пост, касательно Тохи и этого задержания:

Спойлер: Содержание поста

В 2005 был создан Тохой exploit.in который уже как 20 лет работает, в 2018 Тоха поднял с дампа дамаги xss.is, все 20 лет чел был +- в деаноне.

Не нужно строить иллюзии касательно сложности его деанона, чел с 2005 года в теме, на форуме упоминал и университет где учился и ip адреса свои светил и много-много другого, все кому нужно было этот деанон сделать — сделали. Т.е. тут идея такая, что вдумайтесь в эти 20 лет.

Теперь смотрим на домены, на домены вирифа, bhf, wwh, darkmoney, lzt(lolz/zelenka) их сносят постоянно абузами, каждый пол года меняют домены. Сейчас пытался посчитать сколько раз домены exploit. in и xss. is менялись за 20 лет, сбился со счета. Кто-то реально знает причину почему ни разу ни одна служба в мире не дала абузу на эти 2 домена? Есть же абузы которые не контряться, вместе с решением суда прилетает регистратору и все.

И кстати, использовать каптчу CloudFlare при авторизации очень удобно для хак-форума, согласитесь отличное решение? Я правильно понимаю что CloudFlare вообще никаких логов не ведет?

А это классная анкета (на скрине), при регистрации нужно указать свои другие ники на других форумах, ну и поручители это очень хорошо, чтоб понимать с кем кто работает и связан, как же он переживает чтоб ни один скаммер не пролез.

Кто пробовал с Tor акк создать, у вас вышло? Если нет то попробуйте с хрома и gmail указать в качестве почты.

Фингерпритны Тоха официально собирает (на форуме сам пояснял), все опять из-за скаммеров, чтоб мульты банить.

Часто у вас было такое что с Tor не получается на форум зайти, а вот с VPN или вообще без него сразу открывается? Вот если бы не ддосили форум, то можно было бы из Tor всегда заходить.

А теперь чисто гипотетически, а что бы могли получить спец. службы, если бы все таки за 20 лет смогли его сдеанонить:
— личка форума (личная переписка внутри форума)
— гарант сделки (кто с кем и за что + реквизиты )
— ip адреса и с фингерпритами с сопоставлениями и сессиями
— почты / пароли с форума и жабы
— переписки в жабе, контакт листы с жабы
— новые анкеты (те что при регистрации собирает)
— и многое многое другое

Интересно, если бы они все это получили, чтобы они сделали? Тихо дальше дали бы работать форумам чтоб постоянно иметь оперативную информацию про ключевых лиц или закрыли бы форумы?

Админ, он же Тоха, действительно светил свои IP и универ, в котором учился, об этом он рассказывал на эксплойте. Так же, примерно года 2 назад по сети ходил его деанон, но если кто-то помнит, он оказался липовым, если посмотреть на то, как выглядит Тоха в момент задержания.

Так же новый админ говорит, что они работают над восстановлением инфраструктуры и приостановили все работы со сделками и депозитами на форуме:

Вчера на свет вышел ещё один известный персонаж — Ar3s. Он является прародителем форума Damagelab, создавшим его в далёком 2004-м. В 2017-м он был задержан МВД Беларуси, FBI, Europol'ом. Он провёл за решёткой неполных 8 месяцев — белорусские власти освободили Сергея Ярца (Ar3s) 9 августа 2018 года после того, как он пошёл на сотрудничество со следствием и выплатил компенсацию примерно в 5500 USD. После выхода Ar3s публично не вернулся к администрации форумом, но вчера опубликовал следующее сообщение:

Так что до сих пор неизвестно, кем является новый администратор форума XSS.

 

[OG THUG]

Следствие идентифицировало thesecure.biz

вот это очень интересно
через лет 10-15 про таких фильмы смотреть будем =)
интересно как будет развиваться ситуация

 

[oxis]

Кстати пять копеек про открытые контакты в пм на форумах.
Ваши ПМ читают как минимум модеры и админы площадок.
Даже те площадки которые вы считаете не красными, могут спокойно ходить под товарищем майором и следовательно все ваши контакты утекают им в руки. Так что хотябы пользуйтесь привнотом и его аналогами

 

[Satyricon00]

Спасибо за обновление информации

 

[Axiopoinos]

Новая информация подтверждает, что к аресту Тохи причастная группировка-шифровальщиков LockBit, которая со скандалом была изгнана с форума в мае 2021-го. Именно тогда, по словам источников, спецслужбы и начали целевую разработку форума. LockBit известна тем, что не раз передавала силовикам информацию о конкурентах и неудобных для неё игроках, используя правоохранителей как рычаг против соперников.

Из судебного заключения:

Судебным рассмотрением установлено, что Главное следственное управление Национальной полиции Украины по поручению Офиса Генерального прокурора организовало выполнение запроса компетентного органа Французской Республики о предоставлении правовой помощи по уголовному делу № JI JI830 24000001 в отношении противоправной деятельности организованной группы лиц, осуществляющих несанкционированный доступ, ввод, вывод и удаление информации в автоматизированных системах обработки данных, вмешательство в их работу, вымогательство и легализацию (отмывание) преступных доходов, полученных с использованием программы-вымогателя киберпреступной группы «Lockbit».

Из материалов ходатайства установлено, что программа-вымогатель «Lockbit» относится к категории RAAS. Одноимённая преступная организация опирается на аффилированных лиц, совершающих атаки от её имени, и делящих между собой полученную прибыль.

Благодаря проведённым оперативно-розыскным мероприятиям было выявлено, что аффилированное лицо под псевдонимом «ОСОБА_5» может быть связано с 25 атаками на французские компании, совершёнными в период с 29 сентября 2022 года по 22 января 2024 года. Кроме потерпевших с французским гражданством, данный злоумышленник потенциально нанёс вред и другим лицам по всему миру.

Оперативные сотрудники Центра борьбы с киберпреступностью (C3N) Национальной жандармерии отследили выкуп, уплаченный жертвами атак аффилиата под псевдонимом «ОСОБА_6». Отслеживание движения этих денег позволило выявить криптовалютные кошельки, на которые производились выплаты от некоторых потерпевших.

Компетентный орган Французской Республики просит принять меры для установления личности владельца следующего IP-адреса: хостер Vodafone Украина: НОМЕР_2, дата: 02.11.2024, время: 19:24:42 Z.

Учитывая вышеизложенное, орган досудебного расследования считает необходимым осуществить временный доступ к вещам и документам, находящимся во владении ПАО «ИНФОРМАЦИЯ_1» (ЕДРПОУ НОМЕР_1), юридический адрес: АДРЕСА_1.

Источник: Решение Печерского районного суда города Киева от 14.07.2025

ОСОБА_5 = admin aka Toxa был аффилирован с деятельностью LockBit. Однако мы не обладаем информацией о том, работал ли он в этот период с ними, если работал, то зачем было выгонять всех шифровальщиков с форума? А если нет, то получается, что LockBit в отместку за то, что их выгнали, решили подставить и сдать админа правоохранителям?