Когда 22 июля 2025 года украинские силовики арестовали в Киеве предполагаемого администратора XSS[.]is, они не просто закрыли один из старейших русскоязычных хакерских форумов планеты. Они запустили цепную реакцию, вскрывшую глубокие разломы в экосистеме, уже охваченной паранойей из-за охоты спецслужб, скама и геополитического давления.
Арест стал итогом четырехлетнего расследования французской прокуратуры совместно с Европолом. Целью был 38-летний украинец, известный под ником «Toha». Хотя Европол официально не назвал его имя, многочисленные источники в даркнете указывают именно на него. XSS[.]is, корни которого уходят в 2005 год, эволюционировал в ключевой хаб для операторов вымогательского ПО (Ransomware), продавцов эксплойтов и брокеров первоначального доступа.
Французские власти вели мониторинг thesecure[.]biz с июля 2021 года, перехватывая зашифрованные сообщения, связывающие Toha с такими гигантами RaaS (Ransomware-as-a-Service), как REvil, LockBit, Conti и Qilin. В сентябре 2024 года французская полиция начала активную фазу операции в Украине совместно с кибердепартаментом СБУ, что привело к аресту Toha и конфискации клирнет-домена XSS[.]is.
Форум старше, чем сам рынок вымогателей
Чтобы понять масштаб потери XSS, нужно знать историю Toha. В 2013 году он вдохнул новую жизнь в форум DaMaGeLaB, который после ребрендинга в 2018 году стал XSS.is. Платформа славилась жесткой модерацией, надежным Гарантом и уровнем доверия, нетипичным для киберкриминала. Репутация на XSS была валютой: профиль на этом форуме часто служил пропуском в закрытые сообщества, такие как RAMP.
Аналитики KELA отмечают, что именно институт репутации и арбитраж сделали XSS убежищем для крупных сделок. Toha лично выступал арбитром в спорах, и его двадцатилетний авторитет гарантировал честность сделок. Это было критически важно в среде, где экзит-скам (exit scam) и полицейские «ханипоты» (honeypots), это обыденность.
Арест, сломавший доверие
Реакция подполья на новости от 22 июля 2025 года была хаотичной. Клирнет-зеркало исчезло, но Onion-версия форума осталась в сети, что мгновенно породило слухи о захвате ресурса силовиками. Масла в огонь подлили новые модераторы с сомнительной репутацией, которые взяли под контроль депозиты пользователей на сумму почти $6 млн.
Трафик на форуме Exploit вырос почти на 24% на фоне хаоса на XSS, в то время как активность на самом XSS рухнула.
К концу августа 2025 года Tor-версия сайта все еще работала, но сообщество его покинуло.
DamageLib: Наследник престола?
К 27 августа 2025 года DamageLib собрала 33 487 пользователей (почти 66% от базы XSS). Однако активность остается низкой: пользователи регистрируются, чтобы «застолбить» свои ники, но боятся проводить сделки. Доверие, разрушенное однажды, восстанавливается годами.
Компания Cynet отмечает, что администрация DamageLib пытается дистанцироваться от уязвимостей предшественника, вводя строгий веттинг (проверку) новых членов и прозрачность в управлении фондами. Были даже заявлены компенсации пользователям, потерявшим деньги на XSS.
Кризис доверия в мире Ransomware
Крах XSS, это лишь часть глобальной перестройки. После операции Endgame (май 2024) и точечных арестов в России (дело Cryptex и UAPS), так называемый «Тёмный завет» - негласное соглашение о неприкосновенности хакеров, не атакующих цели в РФ трещит по швам.
Партнеры (аффилиаты) все чаще жалуются на обман со стороны создателей шифровальщиков. Показателен случай 22 июля 2025 года: хакер под ником hastalamuerte подал жалобу на форуме RAMP против группировки Qilin, утверждая, что ему не выплатили долю с 14 выкупов.
Что дальше?
Арест Toha, это конец эпохи централизованных, стабильных форумов. Рынок движется в сторону децентрализации: приватные Telegram-каналы, эфемерные чаты и блокчейн-мессенджеры.
Для специалистов по кибербезопасности это палка о двух концах. С одной стороны, фрагментированное подполье менее эффективно: операторам сложнее находить талантливых исполнителей. С другой стороны, мониторинг угроз и атрибуция атак становятся значительно сложнее, когда враг уходит из публичного поля в закрытые peer-to-peer каналы.
Ясно одно: «золотой век» форумов закончился. Подполье эволюционирует, и методы защиты должны эволюционировать вместе с ним.
