RAMP(Russian Anonymous Marketplace)は主にロシア語圏のサイバー犯罪者が集まる、ダークウェブ上の有名なフォーラムになります。RAMPは2023年に「RAMP4U」としてリブランドしています。
以下では、RAMPおよびRAMP4Uについて簡単にまとめます。
RAMP(Russian Anonymous Market place)
RAMP(Russian Anonymous Marketplace)は2021年7月に立ち上げられた、ダークウェブ上で最も活発なランサムウェアフォーラムの一つです。当初はランサムウェアオペレーターやアフィリエイト、初期アクセスブローカー(IAB)等を繋ぐために立ち上げられましたが、現在ではRaaS(Ransomware as a Service)の中核となっており、脅威アクターが協力を呼びかけたり、リクルーティングや取引を行う「ハブ」となっています。
2012年から2017年にも「RAMP」というダークウェブ上のマーケットがありましたが、薬物販売を主目的としたダークウェブマーケットでした。その際のRAMPはロシア政府により解体されています。現代のRAMPは、昔のRAMPとは異なり、サイバー犯罪を中心に作成されているものになっています。
RAMPの構造
RAMPはダークウェブ上でのフォーラムとなっており、英語、ロシア語、中国語で会話が行われています。RAMPのメンバーはIABやアフィリエイト・マルウェア開発者など多岐にわたっています。捜査関係者などを除外するために参加者資格も限られており、下記のいずれかを満たす必要があります。
- XSSやExploitなどのロシア語フォーラムで下記の実績があるもの
- 2か月以上のアカウント保持
- 最低10件のポジティブな評価を受ける投稿
- 500ドルの登録料の支払い
フォーラム上では、様々なランサムウェア攻撃に関する情報がスレッドとして存在しています。新しいランサムウェアの広告や、IABによる初期アクセスの販売、盗見出したデータのリストやExtortionサイト(脅迫サイト)の情報などです。
取引はスレッドで会話されますが、機密性の高い取引は暗号化された特別なプライベート通信で行われている模様です。
ちなみにSocRadarの記事には大凡の価格帯も載っており、例えば中小企業へのRDPアクセスは、通常1,200から1,500$で取引されている模様です。
Ramp4Uについて
2021年のコロニアルパイプライン(Colonial Pipeline)へのサイバー攻撃が波紋を広げた結果、当局による監視が厳しくなったため、ダークウェブマーケットでもランサムウェアに関する直接のやりとりが控えられる様になりました。例えば、2021年5月中旬には先述のXSSとExploitの管理者が、ランサムウェア関連コンテンツの禁止を行なっています。
その後、2023年にRampはRamp4Uという名前にリブランドしました。運営体制の変更と、法執行機関による監視やDDoS攻撃を避けることが狙いの様です。2026年現在はRamp4Uとして運営されており、以前に紹介したGlobal Groupなどの募集にも使われています。
参考リンク
- SocRadar「Dark Web Forum: RAMP」
- Cyberint「The Downfall of XSS Forum」
- Resecurity「Cyber Attacks On Data Center Organizations」
