Después del comienzo de una invasión a gran escala de Rusia, se intensificaron las campañas de información errónea y los ataques de los piratas informáticos, coordinados por grupos progubernamentales de la Federación Rusa. PQ.hosting en 2019, participaron en la implementación de tales operaciones . Esta compañía se especializa en proporcionar servicios de alojamiento en Internet y tiene equipos de servidor en más de 30 países.
A pesar de las sanciones, el alojamiento es bastante común en Rusia, trabajando desde 2022 en una red propiedad de Stark Industries Solutions Limited, registrada por John Neculiti en el Reino Unido.
En uno de sus promocionales, Ivan explica el propósito de la compañía británica: “En este momento, nuestras direcciones IP ya no muestran que pertenecen al alojamiento de PQ. Hay otro nombre neutral. Según él, la compañía británica no participa en transacciones de pago en absoluto, sino simplemente para facilitar los negocios. En otras palabras, cualquier persona que administre un negocio con Stark Industries Solutions está llevando a cabo un negocio con el alojamiento de PQ, excepto que los extraños no lo verán de inmediato.
Enmascarando su red corporativa, el alojamiento de PQ se ha convertido en un refugio para los ciberactivistas pro -rusos que llevan a cabo actividades ilegales contra los ciudadanos ucranianos y ayudan a la rastro de desertores y agentes de FSB dentro del país a través de recursos de phishing de "Legión Libertad de Rusia" y "Voluntarios rusos". Infraestructura para ataques DDoS de países europeos.
Ejemplos específicos:
- 21.12.2023 El grupo de respuesta informática de los ataques registrados de Ucrania contra usuarios ucranianos con boletines electrónicos con el titular de SBU, infectándolos con el virus Remcosrat, que opera bajo el AS44477 (Stark Industries Sol.
- Anteriormente, CERT-UA también informó un ataque utilizando 5 programas diferentes, que fue iniciado por el grupo UAC-0082 (Sandworm) asociado con el Servicio de Seguridad del Estado de Ucrania, utilizando la infraestructura de Stark Industries Solutions Ltd.
- Ataque a los usuarios ucranianos con el encabezado "Sujeto a la corte".
- Artem Tamoyan, un activista y programador de la oposición ruso, dijo en Twitter una historia sobre sus observaciones sobre la promoción de Yandex de los recursos de phishing de LSR y RDC mencionados anteriormente que recopilan datos sobre rusos que desean unirse a sus filas. Algunas quejas con las solicitudes de bloqueo de Tamoyan abordaron la administración de CloudFlare. Una de las respuestas del Servicio declaró que el proveedor de acogida de los sitios falsos de la Legión "Libertad de Rusia" era Stark Industries.
Además, explorando el Informe Federal de la Dirección Federal de la Suiza, fue mencionado por la línea de ataques DDoS de varios días dirigidos a la infraestructura de las autoridades y los grandes municipios, que menciona el grupo pro -ruso Noname057 (16), que utiliza servidores Stark Injustria.
Además, la infraestructura de los hermanos Neculiti utilizó el Grupo Bluecharlie Bluechroment y el robo de datos en los países de Ucrania y la OTAN.
Del mismo modo, el alojamiento de PQ es un "invitado" frecuente según los informes de HYAS, que investiga los incidentes de ciberseguridad. Así es como describieron las actividades de PQ Hosting en el informe del 6 de mayo de 2024:
AS44477, relacionado con Stark Industries, funciona como un anfitrión predecible a prueba de balas con conexiones con Rusia. La actividad observada, en particular, la presencia de robador de línea roja y el tráfico asociado con la botnet indica una intención maliciosa destinada a comprometer los datos de los usuarios y expandir las redes de botnet. Stark Industries puede funcionar como un alojamiento a prueba de balas que promueve el delito cibernético. La presencia de Steler de línea roja implica centrarse en el robo de datos y la monetización potencial de la información robada.
O en un informe anterior:
AS44477 es un número de sistema autónomo (ASN) asignado a una industrias Stark controladas por la red, sospecha de un huésped a prueba de balas con conexiones con Rusia. A menudo, el tráfico problemático proviene de las industrias Stark. Según nuestros datos, este tráfico es principalmente Redline Stealer, que roba los datos personales del navegador y conecta los dispositivos de víctimas con el 'spoo' de Botnet.
Actividad dañina: AS44477 se ha asociado con ataques cibernéticos complejos, como la implementación de programas e intentos por el exfijo de datos. Los malhechores utilizados por este ASN pueden dirigirse a organizaciones en diferentes sectores, utilizando la vulnerabilidad para lograr sus objetivos.
La red social de Twitter (x) es similar a las referencias a las organizaciones que contrarrestan el delito cibernético
En los foros temáticos se les recomienda como "alojamiento resistente al abuso"
o mencionar en telegrama:
La colocación de los especialistas en marketing de drogas tampoco molesta a la empresa, y los recursos como RR-SEEDSHOP081.XYZ están operando silenciosamente en su equipo.
Cuenta igual como casino:
Casinoquanslots.com
bizzocosino.sk
loco
También observó la colocación de recursos que se asemejan a los servicios relacionados con el fraude de criptomonedas:
yamga.org
deenair.org
betchan-exclusive.com
Sorprendentemente, para este tipo de recursos prefieren usar la red específicamente en los Países Bajos.
El servicio de seguimiento de datos de Constella Intelligence informa que Ivan Neculiti ha registrado varias cuentas en línea por correo electrónico [correo electrónico protegido] . La exploración Cyber Intel 471 muestra que esta dirección de correo electrónico está relacionada con el nombre de usuario de DFYZ en más de media docena de foros de delitos cibernéticos en ruso desde 2008. El usuario de DFYZ en SearchEngines.ru en 2008 pidió a otros participantes del foro que vieran la guerra. MD y dijo que eran parte de Mercenaries Teamm.
En ese momento, DFYZ vendió "servidores de abusus para cualquier propósito", lo que significaba que la empresa de alojamiento ignoraba intencionalmente las quejas sobre el abuso o las solicitudes de seguridad para la actividad de sus clientes.
Doma -Domaols también puede enfatizar que al menos 33 nombres de dominio están registrados [correo electrónico protegido] Algunos de estos dominios tienen la importancia de Ivan Neculiti en sus registros de registro, incluido Tracker-Free.cn, que se registró en Ivan Neculiti en [Correo electrónico protegido] y se refirió al equipo de mercenarios en sus registros de registro originales.
DFYZ también usó el apodo de Donchicho, que también vendió servicios de alojamiento resistentes a Abusa y acceso a servidores de Internet rotos. En 2014, el famoso miembro de la comunidad de lenguaje ruso de Antichat presentó una queja contra Donchicho, diciendo que este usuario los había bañado y usó la dirección de correo electrónico [correo electrónico protegido] .
La queja dijo que Donchicho se registró en Antichat de la dirección de Internet de Transnistria 84.234.55. 29.
La búsqueda de esta dirección en Constella muestra que se ha utilizado para registrar solo cinco cuentas en línea que se han creado a lo largo de los años, incluida una en Ask.ru, donde el usuario se ha registrado en la dirección de correo electrónico [correo electrónico protegido] . Constella también regresa al usuario con el nombre "Ivan" en Memoraleak.com y 000webhost.com para esta dirección de correo electrónico.
Constella cree que la contraseña más utilizada por la dirección de correo electrónico [correos electrónicos protegidos] fue de fila, y que esta contraseña está asociada con más de 90 direcciones de correo electrónico. Entre ellos hay alrededor de dos docenas de direcciones llamadas "neculiti", así como la dirección [correo electrónico protegido] .
Intel 471 dice que Donchicho publicó en varios foros de delitos cibernéticos rusos que [el correo electrónico protegido] era su dirección, y que fue incluido en los foros de delito cibernético casi exclusivamente de la dirección de Internet en Tiraspol, Transnistria. Una descripción general de las publicaciones de Donchicho muestra que esta persona se entretuvo en varios foros en 2014 para fraude con otros usuarios.
Las copias fundidas de Donchicho (Donchicho.ru) muestran que en 2009 fue un motero motivo que vendió medicamentos falsos a través de RX-ProMotion, una vez uno de los spam más grandes de farmacia para las ramas de habla rusa.
Volviendo al tema de las sanciones mencionadas al principio, puede notar las interesantes observaciones de correctives, que enfatizaban su "tentivo" en el caso de los hermanos:
“Las sanciones de la UE a las empresas rusas e individuos detrás de los sitios web de RRN erróneos prohíben que las empresas europeas hagan negocios con ellos. Mientras que Stark Industries Solutions como empresa británica y PQ que acogen como una empresa moldava no están sujetas a la legislación de la UE.
