Who Got Arrested in the Raid on the XSS Crime Forum?

Cybercriminels Visés : Qui est Tombé dans les Filets de l’Opération Européenne ?

Une enquête policière européenne, menée par la France, a abouti à l’arrestation d’un administrateur présumé du forum de cybercriminalité russophone XSS, fréquenté par plus de 50 000 membres. L’individu, âgé de 38 ans, aurait joué un rôle central en tant que tiers de confiance, facilitant les transactions et arbitrant les conflits entre criminels en ligne. Le forum XSS a hébergé des membres de groupes de ransomware connus tels que REvil, LockBit, Conti et Qiliin.

Points Clés :

• Arrestation d’un Administrateur : Un homme de 38 ans a été arrêté à Kiev, en Ukraine, pour son rôle présumé dans l’administration du forum XSS.
• XSS, Plateforme Criminelle Majeure : Ce forum russophone était un point de rencontre pour de nombreux cybercriminels, y compris des acteurs de ransomware.
• Rôle de l’Arrêté : Il est décrit comme un arbitre et garant de la sécurité des transactions sur le forum.
• Impact sur la Communauté : L’arrestation a provoqué une agitation et des spéculations intenses au sein de la communauté XSS.
• Migration du Forum : Le forum XSS a rapidement réapparu sur le réseau Tor sous une nouvelle adresse.

Personnalités et Indices Potentiels :

L’enquête a mis en lumière plusieurs noms et pseudonymes potentiellement liés à l’administrateur arrêté ou à d’autres figures du milieu cybercriminel :

• “Toha” : Le pseudonyme le plus fortement associé à l’administrateur de XSS et de plusieurs autres forums majeurs. Son historique remonterait à 2005 avec la création du forum Hack-All, puis exploit[.]in.
• Anton Medvedovskiy : Son nom apparaît dans les enregistrements de domaines liés à l’adresse email de “Toha” (toschka2003@yandex.ru). Des informations le situent à Kiev et son âge correspondrait à celui de l’individu arrêté.
• Anton Viktorovich Avdeev : Nom avancé par le leader du groupe LockBit (“Lockbitsupp”) et un utilisateur Twitter. Cet individu, lié à des enregistrements gouvernementaux russes, est plus âgé que l’administrateur arrêté.
• Sergeii Vovnenko (“Fly”, “Flycracker”) : Ancien cybercriminel ukrainien, il a opéré un serveur de messagerie sécurisé (thesecure[.]biz) qui aurait été administré par l’individu arrêté à Kiev. Il suggère que l’administrateur arrêté pourrait être russe et que “Toha” n’est pas la personne arrêtée.
• “N0klos” et “Sonic” : Noms mentionnés par Vovnenko comme potentiels successeurs ou complices de “Toha” dans la gestion de thesecure[.]biz et potentiellement de XSS.

Vulnérabilités et Recommandations :

L’article ne détaille pas de vulnérabilités logicielles spécifiques avec des identifiants CVE. Cependant, il met en évidence les risques inhérents à la participation à de telles plateformes :

• Perte de données et de confiance : La saisie des serveurs par les autorités a potentiellement exposé des années de messages privés, des listes de contacts et d’autres données d’utilisateurs.
• Analyse post-violation : Les données saisies peuvent être analysées à l’aide d’outils avancés pour établir des liens entre pseudonymes, adresses email, adresses IP et empreintes digitales, créant ainsi des dossiers détaillés sur les utilisateurs.

L’article suggère que la confiance dans les figures d’autorité des forums cybercriminels a été ébranlée. Les forums relancés après les saisies ont vu leurs modérateurs remplacés et les soldes des comptes utilisateurs réinitialisés, demandant des dépôts pour la réinscription, signalant une tentative de reconstruction de la sécurité et de la confiance. Cependant, le scepticisme prévaut parmi les anciens membres.

Source