Selon BleepingComputer (Lawrence Abrams, 28 janvier 2026), le FBI a saisi le forum cybercriminel RAMP, utilisé pour promouvoir des opérations de rançongiciel, recruter des affiliés et vendre des accès. Le site Tor et le domaine ramp4u[.]io affichent désormais une bannière de saisie mentionnant la coordination avec le United States Attorney’s Office (Southern District of Florida) et la CCIPS du Department of Justice, agrémentée du slogan de RAMP « THE ONLY PLACE RANSOMWARE ALLOWED! » et d’une image taquine de « Masha and the Bear ». 🚓

Les serveurs DNS du domaine ont été basculés vers ceux utilisés par le FBI lors des saisies (ns1.fbi.seized.gov, ns2.fbi.seized.gov). Aucune annonce officielle n’a encore été faite, mais cette action donne potentiellement accès aux autorités à des données d’utilisateurs du forum (adresses e‑mail, adresses IP, messages privés, etc.), ouvrant la voie à d’éventuelles identifications et arrestations en cas de failles d’OPSEC. Un opérateur présumé de RAMP, « Stallman », a confirmé la saisie sur le forum XSS. Le FBI a décliné tout commentaire.

Contexte: RAMP a été lancé en juillet 2021, après l’interdiction de la promotion de rançongiciels sur les forums russophones Exploit et XSS à la suite de l’attaque DarkSide contre Colonial Pipeline. RAMP s’est présenté comme l’un des derniers lieux où les opérations de ransomware pouvaient être promues ouvertement, attirant des groupes pour le recrutement d’affiliés et le commerce d’accès réseau. 🔐

Le forum a été créé par « Orange » (alias Wazawaka/BorisElcin), ex‑administrateur de Babuk. Après des dissensions internes au sein de Babuk autour de la divulgation de données policières volées et l’éclatement du groupe, Orange a lancé RAMP en réutilisant un ancien domaine onion de Babuk. Peu après, RAMP a subi des attaques DDoS; Orange a accusé d’anciens partenaires de Babuk, lesquels ont nié toute implication à BleepingComputer.

Le journaliste Brian Krebs a identifié « Orange » comme le Russe Mikhail Matveev. Dans un entretien avec Dmitry Smilyanets (Recorded Future), Matveev a confirmé avoir opéré sous « Orange » et avoir créé RAMP en s’appuyant sur l’infrastructure de Babuk, affirmant que le forum n’était pas rentable et constamment sous DDoS, ce qui l’a poussé à se retirer. En 2023, Matveev a été inculpé par le DOJ pour sa participation à Babuk, LockBit et Hive, visant notamment des organisations de santé, des forces de l’ordre et d’autres infrastructures critiques; il a été sanctionné par l’OFAC, placé sur la liste des personnes recherchées du FBI, et une récompense allant jusqu’à 10 M$ a été offerte par le Département d’État.

IOC(s):

  • Domaine: ramp4u[.]io
  • Changement DNS post‑saisie: ns1.fbi.seized.gov, ns2.fbi.seized.gov

TTP(s):

  • Promotion de rançongiciels et recrutement d’affiliés via un forum
  • Achat/vente d’accès à des réseaux
  • Utilisation de Tor et d’un domaine clearnet pour la visibilité et l’accès
  • Attaques DDoS contre l’infrastructure du forum
  • Saisie de domaine par les forces de l’ordre; exploitation des erreurs d’OPSEC des acteurs

Type d’article: opération de police; objectif principal: informer de la saisie du forum RAMP par le FBI et en retracer le contexte et les acteurs clés.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/fbi-seizes-ramp-cybercrime-forum-used-by-ransomware-gangs/