През първите два месеца на 2026 г. глобалната киберпрестъпна екосистема, на която разчитат рансъмуер групите, започна да показва сериозни пукнатини. Властите конфискуваха инфраструктурата на RAMP – руски езиков форум за набиране на рансъмуер партньори, масивна база данни от BreachForums отново се появи онлайн, а криптираната платформа Telegram се оказа под засилен геополитически и правен натиск.
Тези събития не са изолирани инциденти, а част от по-широка тенденция – дестабилизация на ключовата инфраструктура, която поддържа дейността на киберпрестъпния ъндърграунд.
Конфискацията на RAMP и сривът на каналите за набиране
В края на януари американските власти конфискуваха инфраструктурата на RAMP – дългогодишен рускиезичен форум, използван от рансъмуер партньори за набиране на съучастници, предлагане на RaaS услуги и търговия с първоначален достъп до компрометирани системи.
Операцията беше проведена от ФБР, което замени домейните на форума с уведомление за конфискация, иронизиращо слогана му „Единственото място, където е позволен рансъмуер“.
Създаден през 2021 г., RAMP обслужваше около 14 000 потребители и играеше ключова роля в:
-
набиране на партньори
-
продажба на първоначален достъп
-
обмен на инструменти
-
изграждане на репутация в ъндърграунда
Защо това е важно: подобни форуми са „борси“ за рансъмуер екосистемата. Внезапното им изчезване нарушава координацията, логистиката и доверието между участниците. Обичайният резултат е разпадане на общността на малки, затворени и по-параноични групи.
Изтичането на BreachForums и параноята в ъндърграунда
Почти едновременно с това в началото на 2026 г. онлайн отново се появи масивна база данни от BreachForums, съдържаща информация за 323 986 акаунта.
Според изследователи, изтеклите данни включват:
-
имейл адреси
-
потребителски имена
-
хеширани пароли
-
IP адреси
-
метаданни, включително акаунти на администратори
Данните вероятно произхождат от архиви отпреди закриването на форума през 2025 г., когато той е бил под контрола на групировката ShinyHunters.
Изтичането беше публикувано от анонимен с псевдоним „James“, придружено от дълъг манифест, в който авторът се представя като „легендарен хакер“, свързан с различни киберпрестъпни групи.
В списъка фигурират и добре познати имена от историята на ъндърграунда, включително основателят на BreachForums Конър Брайън Фицпатрик, известен като pompompurin, арестуван през 2023 г.
Защо това е важно: изтичането засили обвиненията в „honeypot“ платформи и вътрешни предателства. Резултатът е рязко нарастване на недоверието и публични конфликти между хакерски общности, особено в Telegram.
Telegram под нарастващ геополитически натиск
Криптираната платформа Telegram, широко използвана от рансъмуер групи за комуникация, рекет и публикуване на изтичания, също се оказа под засилен натиск.
В началото на 2026 г. руските власти започнаха наказателно производство срещу основателя на Telegram Павел Дуров, обвинявайки го в „съдействие на тероризъм“. Паралелно с това достъпът до приложението беше частично ограничен в Русия.
Дуров публично отхвърли обвиненията, заявявайки, че става дума за опит за ограничаване на правото на личен живот и свободно слово.
Натискът не е нов – през 2024 г. Дуров беше арестуван във Франция по обвинения, че е допуснал масова киберпрестъпна дейност в платформата. Макар Telegram да не беше закрит, компанията впоследствие промени политиките си и се съгласи да предоставя потребителски данни при законови искания.
Какво означава това за рансъмуер екосистемата
Комбинацията от:
-
конфискации на форуми
-
мащабни изтичания на данни
-
засилен натиск върху комуникационни платформи
значително стеснява „сигурните пространства“, от които оперират рансъмуер групите. Макар те да се адаптират бързо, създавайки нови канали и форуми, всяка подобна миграция увеличава риска от инфилтрация, грешки и вътрешни разцепления.
Киберподземният свят не изчезва – но става по-фрагментиран, по-недоверчив и по-нестабилен, което от своя страна може да промени динамиката на глобалните рансъмуер операции през 2026 г.
