FBI slår till mot ökända RAMP – ett av få forum som tillät ransomware öppet

Både forumets Tor-sida och den öppna domänen ramp4u[.]io visar nu en beslagtagandebanner med texten: ”The Federal Bureau of Investigation has seized RAMP.”

Beslagtagandet syns på sajten – men ingen officiell presskonferens

I bannern står att insatsen skett i samarbete med åklagarkammaren i Southern District of Florida och den amerikanska justitiedepartementets enhet för IT-brott och immaterialrätt.

Samtidigt finns det ännu ingen offentlig presentation från myndigheter om exakt hur tillslaget gått till eller vad som beslagtagits. Men ett tydligt tecken är att domänens namnservrar ska ha bytts till sådana som FBI ofta använder när de tar över sajter, skriver Bleeping Computer. 

Kan ge myndigheterna tillgång till användardata

Om FBI faktiskt kontrollerar infrastrukturen kan det innebära att myndigheterna nu sitter på stora mängder data kopplad till forumets användare.

Läs också: Nvidia passerade 4 000 miljarder dollar

Det kan handla om e-postadresser, IP-adresser, privata meddelanden och annan information som kan bli direkt belastande i framtida utredningar.

För cyberkriminella som slarvat med sin ”opsec” – alltså operativ säkerhet och anonymitet – kan det i värsta fall leda till identifiering och gripanden.

Uppges bekräftat av tidigare operatör

På ett inlägg på hackingforumet XSS ska en person som pekas ut som tidigare RAMP-operatör, med aliaset ”Stallman”, ha bekräftat beslagtagandet.

I en översatt version av inlägget skriver personen att myndigheter tagit kontroll över forumet och att det ”förstört år av arbete” med att bygga vad som beskrivs som ”världens friaste forum”.

Läs också: Apple vill köpa F1-rättigheterna

Forumet växte fram när andra stängde dörren för ransomware

RAMP startade i juli 2021, efter att flera stora ryskspråkiga forum – som Exploit och XSS – börjat förbjuda reklam för ransomware.

Bakgrunden var ett ökat tryck från västerländska myndigheter efter den uppmärksammade DarkSide-attacken mot Colonial Pipeline i USA. När fler forum stramade åt reglerna positionerade sig RAMP som en av de sista platserna där ransomware fortfarande kunde marknadsföras öppet.

Det gjorde att flera ransomwaregäng enligt uppgifterna använde forumet för att rekrytera affiliates, köpa och sälja åtkomst till nätverk och driva sin brottsliga verksamhet vidare.

Kopplingar till Babuk – och en utpekad rysk misstänkt

RAMP kopplas till en aktör som använt aliasen Orange, Wazawaka och BorisElcin. Enligt uppgifterna var Orange tidigare administratör för Babuk, en ransomwaregrupp som lades ned efter en attack mot Washington D.C:s polismyndighet.

Läs också: Samsung fortsätter med galna priser

Efter interna konflikter ska Babuk ha splittrats – och i spåren av det lanserades RAMP på en Tor-adress som tidigare ska ha använts av Babuk.

Den som stått bakom Orange/Wazawaka ska senare ha pekats ut av journalisten Brian Krebs som den ryske medborgaren Mikhail Matveev. I en intervju ska Matveev även ha bekräftat att han använt aliaset Orange och byggt RAMP på Babuks tidigare infrastruktur.

Åtal, sanktioner och en belöning på upp till 10 miljoner dollar

Matveev har också kopplats till flera stora ransomwareoperationer, bland annat Babuk, LockBit och Hive. Enligt uppgifterna har USA:s justitiedepartement åtalat honom för inblandning i attacker mot bland annat vård, polis och annan samhällskritisk infrastruktur.

Han ska även ha sanktionerats av USA:s finansdepartement och placerats på FBI:s ”most wanted”-lista. USA:s utrikesdepartement ska dessutom ha utlyst en belöning på upp till 10 miljoner dollar för information som kan leda till gripande eller fällande dom.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Ett hårt slag mot cyberkriminellas infrastruktur

Om beslagtagandet står sig kan det bli ett av de tyngre slagen mot den ryskspråkiga cyberbrottsscenen på senare tid – inte bara för att en marknadsplats stängs, utan för att data om användare kan hamna i händerna på amerikanska myndigheter.

För många aktörer i den här miljön är just anonymiteten allt. När den spricker kan konsekvenserna bli betydligt större än en nedsläckt sajt.

Läs också: Samsung Galaxy Z Fold7: Tunnare, starkare och snabbare