Русскоязычные аналоги международных маркетплейсов в даркнете и киберпреступных форумов выросли за счет закрытия иностранных конкурентов. Так, объем транзакций на «Гидре» увеличился с $ 9,3 млн в 2016 году до $1,4 млрд или даже до $2 млрд в 2020 году. Эксперты считают, что площадка не теряет устойчивости «из-за сотрудничества со спецслужбами», иначе ее можно было бы закрыть путем DDoS-атак.
Исследование провели американские компании Chainalysis и Flashpoint.
«Гидра» существует с 2015 года. Площадка позволяет продавать наркотики, а также поддельные документы и фальшивые купюры. На «Гидре», помимо прочего, предлагают услуги по взлому аккаунтов и кибератакам. В 2019 году на площадке было зарегистрировано 2,5 млн аккаунтов.
Транзакции на «Гидре» осуществляются в криптовалюте, а продавцы с 2018 года конвертируют их в российские «фиаты» через биржи и электронные кошельки, используя платежные системы Qiwi или «ЮMoney». При этом в «ЮMoney» утверждают, что не работают с «Гидрой», а Qiwi никак не комментирует ситуацию.
Авторы отчета смогли подсчитать только тот объем транзакций, который проходит через кошельки из базы Chainalysis.
Эксперты считают фактором роста «Гидры» преследование киберпреступных площадок-аналогов, в том числе, RAMP, Joker’s Stash, Verified и Maza. Теперь, по их мнению, «Гидра» может стать специализированным киберпреступным магазином.
Однако на площадке существуют свои ограничения. Так, ее продавцы должны иметь более 50 завершенных трансакций и поддерживать остаток на счету, эквивалентный $ 10 тысячам. С ростом популярности площадки выросло и число объявлений о продаже аккаунтов продавцов.
Одни эксперты считают, что «Гидре» получается оставаться «устойчивой к колебаниям геополитики и усилиям правоохранительных органов». Другие же предполагают, что площадка сотрудничает с силовиками, которые предпочитают контролировать одну площадку, чем иметь дело со многими мелкими.
Представитель рынка сообщил, что у некоторых компаний по кибербезопасности есть негласное указание «не работать с "Гидрой"», то есть, они не занимаются поиском киберпреступников на этом ресурсе.
При этом, по мнению экспертов, для ликвидации ресурса достаточно DDoS-атак, которые ранее уже позволили закрыть Dream Market, Empire Market, Nightmare Market и форум Dread. Кроме того, любой аккаунт на «Гидре» можно взломать путем фишинга или автоматического перебора паролей, либо организовать показательную утечку данных.
Ранее аналитики платформы Clain подсчитали, что доля российских операций на криптовалютных биржах, через которые проходят транзакции в даркнете, достигла 40 % в 2020 году. Эксперты связывают это с популярностью запрещенных сервисов, в том числе «Гидры».
Одновременно специалисты по кибербезопасности Check Point Research зафиксировали в даркнете резкий рост объявлений от специалистов, которые ищут нелегальную работу.
ZetaTetra
Налоговая отчиталась? Или на «Гидре» действует система «открытые данные»?
Я даркнетом пользуюсь, но про «Гидру» — не в курсе.
DDoS атаки чего? Узла Tor сети?
А почему эксперты так решили?
gdt
Если мне не изменяет память — пул BTC адресов площадки известен, что в совокупности с прозрачностью биткоина позволяет сделать кое-какие грубые прикидки.
ZetaTetra
А можно ссылочку на известный пул?
gdt
К сожалению лично у меня нет этой информации, беглый поиск в гугле тоже не помог. Однако недавно читал новость о том, что какая-то биржа запретила вывод биткоинов на кошельки гидры — значит как минимум у них эта информация точно есть.
ZetaTetra
А где такая новость?
А то ведь «новость» это ещё не значит что что-то было сделано и что-то у них есть.
Сгенерить-то кошелёк можно за несколько секунд.
Хоть на стационарнике, хоть в андроиде, хоть в скрипте.
Gengenid
У гидры на сайте это написано.
ZetaTetra
Что написано?
Gengenid
Что какая-то биржа запретила вывод на кошельки гидры и теперь нажав какую-то кнопку можно сгенерировать новый адрес. Типа того. Я с другого компьютера регистрировался, второй раз лень.
ZetaTetra
А, слухи. Понятно.
Я думал что-то конкретное нашлось.
Gengenid
Да почему слухи. Написано какая биржа, только я не помню, а без регистрации нельзя посмотреть.
ZetaTetra
Когда в интернетах что-то написано но нет пруфов, то это называется слухи.
, но если дать ссылку на первоисточник, то к реальности это не будет иметь никакого отношения.Так то можно сказать что:
Gengenid
Если Вы не зарегистрированы на гидре, все равно не сможете прочитать. Если зарегистрированы, то просто зайдите и прочтите это на главной странице.
ZetaTetra
А, увидел.
Это просто техническая ошибка сервиса самой гидры, уже исправили. Там биржа непричём.
sets
Не знаю как работает Гидра, но в целом при расчете битками норма - генерировать новый адрес каждому новому покупателю (или даже на каждую новую покупку), собственно это основной способ понять, что перевод осуществил именно он. Так что не совсем понятно, зачем иметь фиксированный пул адресов. Так бывает у тех, кто публично собирает донаты все равно от кого.
Barnaby
Так же норма — скидывать крипту сразу после получения на один фиксированный адрес.
Не знаю зачем, наверное не любят HD wallet. А хранили бы в HD wallet (и для каждого перевода с горячего на холодный новый адрес) никто бы ничего не отследил.
KivApple
Я видел исследования, где объяснялась методика подсчёта: id заказов генерируются последовательно. То есть можно сделав два заказа (кстати, при этом исследователь может даже не нарушить закон — на площадке есть некоторое количество безобидных лотов, приобретение которых не грозит уголовной статьёй) через определённый промежуток времени определить количество всех заказов на площадке сделанных за этот промежуток времени. Остаётся только как-то посчитать среднюю стоимость заказа. Стоимости лотов публичны, пропорцию для взвешенного среднего можно оценить по количеству отзывов (конечно, не все покупатели оставляют отзывы, но скорее всего количество отзывов имеет неплохую корреляцию с количеством заказа каждого товара). Погрешность, разумеется, будет, но количество нулей в числе, выражающим собой полный оборот площадки, определить можно достаточно достоверно.
Ещё можно отслеживать транзакции на криптокошельки — они тоже известны, иначе пользователи бы не знали, куда переводить деньги.
Вот с «устроить показательную утечку данных» ничего не понятно, как такое провернуть без содействия владельцев ресурса. Как и с подавлением DDoS. С учётом доходности подобной площадки, с железом проблем у владельцев быть не должно.
x67
С точки зрения технологий сайт выглядит весьма убогим и сляпанным на коленке, уверен там куча уязвимостей и утечка данных не есть что-то сверхсложное.
ДДОС вполне себе здравый вариант, этот ресурс и без того загибается по производительности, а капчи не выглядят сверхсложными. Уверен, даже, если бы хабровчане скинулись на ддос атаку, тут нашлось бы и финансирование и компетентные специалисты, которые смогли бы организовать это достаточно безопасно для себя.
Только вот такое может случиться разве что если гидру уличат в сотрудничестве со спецслужбами
ZetaTetra
Ну, допустим, id заказа будет у нас ulong с maxvalue = 18446744073709551615
Хотя тоже странно, ибо проще делать guid, чем рециркуляцию.
Но вот только заказ =/= оплата.
Иначе я-б уже озолотился на своём интернет-магазине, с 100500 тестовыми заказами…
Прибыль определяется от покупки, а не от заказа. По (допустим сквозному) номеру заказа можно посчитать только кол-во заказов.
Для этого надо вырубить конфиденциальность кошелька. Осознанно.
Да и если счёт используется и владелец купил бутерброд, это не значит что владелец питается одними бутербродами.
Как видно из новостей, Tor ещё в 2019 году добавил несколько инструментов для защиты от ddos атак, ибо вымогатели клали любой ресурс и требовали выкуп достаточно давно.
2019.www.torproject.org/docs/tor-manual.html#_denial_of_service_mitigation_options
Art3
Вы не в курсе, а для многих «даркнет», «tor» и «Гидра» слова — синонимы. А Гидра непобедима (и уверен, их крышуют на самом высоком уровне), сбережения площадки растут в 10 раз тупо из за курса битка.
ZetaTetra
Точно, марсиане. Выше некуда.
tmin10
ZetaTetra
Сайт крутится на серерах, но адрес сайта неизвестен. И ddos будет входной или (максимум) выходной ноды TOR'а.
Дальше формируется транспорт и вот на уровне транспорта можно устроить lazy load атаку.
Но торовцы ещё в 2019 году это пофиксили, ибо вымогание денег было распространено на все сайты в сети tor, а не только определённой тематики.
2019.www.torproject.org/docs/tor-manual.html#_denial_of_service_mitigation_options
Новость:
www.anti-malware.ru/news/2019-07-05-1447/30091