Infraestrutura Russa: Um Refúgio para Cibercriminosos? Análise de RuCenter, Reg.Ru e DDoS-Guard
Um artigo investiga como a infraestrutura russa, incluindo RuCenter, Reg.Ru e DDoS-Guard, se tornou um paraíso para cibercriminosos, abrigando serviços de DDoS e mercados ilegais. A publicação detalha a inação diante de denúncias e o uso de dados falsos, levantando questões sobre a segurança cibernética na Rússia.
MundiX News·10 de maio de 2026·15 min de leitura·👁 2 views
Infraestrutura Russa: Um Refúgio para Cibercriminosos? Análise de RuCenter, Reg.Ru e DDoS-Guard
Em março de 2026, vários projetos relacionados a jogos de navegador foram vítimas de um ataque DDoS em larga escala. Os sites atacados estavam hospedados em um VPS não protegido de um provedor de hospedagem russo. Lidar com o ataque por conta própria foi impossível; além do nível L7 (HTTP flood), os atacantes também usaram L4 (TCP/UDP flood), efetivamente matando o canal e os recursos do meu servidor. Como resultado, para proteger vários domínios, tive que conectar urgentemente uma solução externa com proxy de tráfego. Isso custou várias dezenas de milhares de rublos e se transformou em despesas mensais regulares, o que me irritou muito e continua a me irritar até hoje.
Essa experiência me impulsionou a entender como o mercado de ataques DDoS funciona hoje: quem os lança, como funciona e quanto custa em 2026. Durante a pesquisa, encontrei os chamados DDoS stressers - serviços que permitem que qualquer pessoa, por uma taxa relativamente pequena, organize um ataque a qualquer site ou servidor sem qualquer confirmação dos direitos sobre o recurso-alvo. O acesso a essas plataformas é vendido exclusivamente por criptomoeda. A interface desses serviços é extremamente simplificada e é um painel de controle de ataque no qual o destino (endereço IP ou URL) é especificado, a duração do ataque em segundos é especificada, o método de ataque é selecionado - L4 (TCP/UDP) ou L7 (HTTP), após o qual o lançamento e a parada dos ataques são realizados com um ou mais botões. A própria existência de tais serviços não é novidade - ouvi falar dos primeiros deles em 2012, parece que no mesmo ano os criadores desses serviços foram presos. Até hoje, as agências de aplicação da lei, incluindo a Europol, o FBI e outros serviços nacionais, realizam regularmente operações sob o nome geral de PowerOFF. No âmbito dessas atividades, os domínios são bloqueados, a infraestrutura do servidor é apreendida, a identidade dos usuários e criadores de tais serviços é estabelecida, com sua subsequente responsabilização criminal.
No entanto, as empresas russas, sobre as quais falaremos a seguir, desenvolveram sua própria atmosfera, contribuindo para o fato de que representantes do segmento de língua inglesa do cibercrime estão gradualmente transferindo suas atividades para a infraestrutura russa, buscando manter e proteger seus negócios ilegais. Estamos falando de jogadores muito específicos e conhecidos do mercado russo:
RuCenter - um dos maiores registradores de nomes de domínio russos
Reg.Ru - um dos maiores registradores de domínios e provedores de hospedagem russos
DDoS-Guard - uma empresa especializada em proteger recursos da Internet contra ataques DDoS
A entrada da empresa DDoS-Guard nesta lista parece particularmente absurda. Posicionando-se como fornecedora de proteção contra ataques DDoS, na prática, ela acaba sendo integrada à mesma ecossistema contra a qual declara lutar, fornecendo serviços de proteção aos DDoS stressers. Como resultado, surge uma situação paradoxal: a infraestrutura destinada a combater ataques atende simultaneamente àqueles que organizam esses ataques. RuCenter e Reg.Ru - esses não são alguns serviços "à prova de abuso" da zona cinzenta, mas grandes registradores com identificação formalmente ativa de clientes e verificação de dados ao registrar domínios. No entanto, na prática, sua infraestrutura continua a ser usada para registrar domínios que atendem DDoS stressers, bem como sites onde cartões bancários roubados, documentos falsificados e outros serviços ilegais são abertamente negociados. Não estamos falando de incidentes únicos ou omissões aleatórias. O quadro observado é sustentável e sistemático. Os mesmos tipos de recursos: DDoS stressers, fóruns sombrios, sites com conteúdo abertamente ilegal - escolhem consistentemente RuCenter e Reg.Ru para seus domínios. O fator-chave é a reação às reclamações. Na prática, ela está ausente ou se resume a respostas formais do tipo "entre em contato com as agências de aplicação da lei, estamos de mãos atadas". Essa posição, na verdade, isenta os registradores de qualquer responsabilidade pelo que acontece em sua zona de controle. Como resultado, uma regularidade estável é formada: os cibercriminosos escolhem conscientemente as empresas onde o risco de consequências é mínimo. E enquanto essa situação persistir, a infraestrutura desses registradores continua a ser usada para atender serviços ilegais - não apesar das políticas declaradas, mas como resultado de sua ineficácia real.
Como um exemplo visual, a tabela abaixo mostra uma série de stressers e fóruns detectados.
Atenção: É recomendável visitar esses recursos apenas para fins de pesquisa. A criação e o uso de tais serviços na Federação Russa estão sujeitos ao código penal:
Art. 272 do Código Penal da Federação Russa ("Acesso ilegal a informações de computador")
Art. 273 do Código Penal da Federação Russa ("Criação, uso e distribuição de programas maliciosos")
Art. 274 do Código Penal da Federação Russa ("Violação das regras para a operação de meios de armazenamento, processamento ou transmissão de informações de computador")
No contexto de recursos com a venda de cartões bancários roubados e documentos falsificados:
Art. 159.3 do Código Penal da Federação Russa ("Fraude com o uso de meios eletrônicos de pagamento")
Art. 187 do Código Penal da Federação Russa ("Circulação ilegal de meios de pagamento")
Art. 327 do Código Penal da Federação Russa ("Falsificação, fabricação ou circulação de documentos falsificados")
[Tabela com domínios, registradores e informações sobre DDoS-Guard, com dados dinâmicos e informações sobre a proteção de cada site. Devido à formatação do texto original, a tabela não foi reproduzida aqui.]
Olhe para esta lista - e ela está longe de ser completa. Em que os registradores russos estão se transformando, se mesmo em recursos estrangeiros encontrei muitas discussões onde, para atividades ilegais, é recomendado usar domínios registrados através do RuCenter ou Reg.Ru? Nessas mesmas discussões, eles são chamados diretamente de registradores "à prova de balas", ao mesmo tempo em que analisam como contornar a verificação KYC, onde comprar digitalizações e fotos de passaportes russos e como fazer pagamentos usando cartões russos. Em registradores internacionais populares, como GoDaddy, Namecheap, IONOS, Gandi e Tucows, esses recursos vivem não mais do que 72 horas após a reclamação, após o que seus domínios são removidos da delegação, mas os registradores russos, como já observei, têm sua própria atmosfera - e nesse contexto, não é surpreendente que o cibercrime, incluindo o de língua inglesa, esteja migrando para eles.
[Apresentação de screenshots com descrições breves para cada um dos sites considerados, na mesma sequência da tabela, com informações sobre stressers e fóruns ilegais. Devido à formatação do texto original, os screenshots não foram reproduzidos aqui.]
Como você pode entender, este material não teria aparecido se a situação pudesse ser resolvida por meio de apelos padrão ao suporte dos registradores e DDoS-Guard. No Centro de Coordenação de Domínios .RU/.RF, fui recomendado a entrar em contato com o administrador do domínio de nível superior .SU - RIPN, bem como com várias organizações especializadas com as quais eles interagem. Durante um mês, enviei apelos a todas as organizações listadas abaixo - sem fanatismo, duas cartas a cada 14 dias: para endereços de abuso, endereços de e-mail de contato e por meio de formulários de feedback, se disponíveis em seus sites. Os resultados dos apelos em suas telas:
RIPN SU - sem resposta
NCCCI - sem resposta
BI.ZONE - sem resposta
Dr.Web - sem resposta
F6 - sem resposta
RU-CERT - sem resposta
Roskomnadzor - o apelo foi registrado, após um mês não houve nenhuma ação
Ministério do Interior da Federação Russa - o apelo foi registrado, mas nenhuma ação se seguiu durante o mês
E, claro, os principais participantes:
DDoS-Guard - sem resposta
Reg.Ru - sem resposta
RuCenter - uma resposta foi formalmente recebida, mas, na verdade, isso pode ser caracterizado como uma resposta evasiva:
Olá!
A JSC "RSIC" não é um órgão competente para determinar a presença de sinais de crime nas ações de seus clientes. De acordo com a seção 3.18.2 do Acordo de Acreditação de Registradores (RAA) de 2013, o Registrador não é obrigado a tomar nenhuma ação que contradiga a legislação aplicável. RU-CENTER é uma entidade legal criada e operando de acordo com a legislação da Federação Russa. De acordo com as normas da legislação da Federação Russa, a RU-CENTER é obrigada a fornecer serviços aos clientes de boa fé, exceto nos casos em que (i) um tribunal competente tomou outra decisão, (ii) as agências de aplicação da lei da Federação Russa exigem o contrário ou (iii) isso é explicitamente indicado na lei relevante (e a lista de tais casos é exaustiva). O Registrador pode cancelar um domínio ou interromper sua delegação apenas com base em uma solicitação de seu registrante ou dos órgãos acima mencionados. O requerente não é uma agência de aplicação da lei, um órgão de proteção ao consumidor, um quase-governo ou outro órgão semelhante designado pelo governo nacional na jurisdição em que o Registrador é estabelecido e tem um escritório físico (Federação Russa). Se a JSC "RSIC" receber uma ordem das agências de aplicação da lei da Federação Russa ou a mesma decisão judicial, a JSC "RSIC" terá o direito de bloquear o domínio
--
Atenciosamente,
Alexander
Departamento de Atendimento ao Cliente
RuCenter
https://nic.ru
É por isso que, como já observei anteriormente, em plataformas de cibercrime de língua inglesa, os registradores russos já são chamados diretamente de registradores "à prova de balas", e é com os registradores russos que cibercriminosos de todos os tipos registram em massa domínios para seus esquemas sombrios - usando digitalizações e fotos compradas de passaportes russos, bem como cartões de pagamento de outras pessoas.
Com base em tudo o que foi dito acima, gostaria de fazer algumas perguntas aos representantes da Runity @runity - a marca tecnológica que une RuCenter e Reg.Ru, bem como aos representantes da DDoS-Guard @DDoS-GUARD, @olegantipovDDG.
Runity, por que os registradores precisam de canais de comunicação pública abuse@nic.ru e abuse@reg.ru, se quaisquer medidas são tomadas apenas mediante solicitação das agências de aplicação da lei, enquanto os apelos de indivíduos - mesmo com a descrição de violações óbvias e facilmente verificáveis - ou terminam com respostas formais, ou permanecem sem reação, como aconteceu no meu caso com Reg.Ru? Talvez, nesse caso, seja mais correto indicar diretamente nos sites que os apelos de indivíduos não são realmente considerados e a prioridade é dada exclusivamente aos pedidos de órgãos autorizados?
Dado que, para passar pela identificação, os cibercriminosos usam documentos de outras pessoas ou falsificados, bem como indicam números de telefone de outras pessoas ou inexistentes como contatos, surge outra questão - os registradores realmente têm métodos eficazes para verificar a autenticidade dos dados ao registrar domínios, capazes de detectar esses esquemas, ou toda a verificação se limita à coleta formal de dados sem verificar sua verdadeira afiliação ao registrante?
DDoS-Guard, dado o perfil de suas atividades, você deve entender melhor do que muitos o que são DDoS stressers e para que fins eles são usados. Como um funcionário que processou apelos, poderia simplesmente ignorar repetidas reclamações sobre esses recursos e não tomar nenhuma medida? Por que uma empresa envolvida na proteção contra ataques DDoS fornece sua infraestrutura para aqueles que organizam esses ataques?
Além disso, quero apelar a todos os representantes dos órgãos autorizados que, possivelmente, lerão este material. Como pode ser visto em minha experiência de interação com as empresas listadas, nenhuma ação ou sanção foi tomada em relação a nenhum dos recursos especificados em um mês. No momento da publicação deste material, todos os recursos em questão continuam a funcionar. Diante de tal inação, a infraestrutura russa continua a ser usada para realizar ataques DDoS a recursos em todo o mundo, incluindo sites e servidores russos, e sites onde cartões bancários roubados e documentos falsificados são vendidos funcionam sem restrições. Este é um problema sistêmico que requer atenção e reação imediata no nível das estruturas competentes.
Obrigado pela atenção.
Infraestrutura Russa: Um Refúgio para Cibercriminosos? Análise de RuCenter, Reg.Ru e DDoS-Guard
Em março de 2026, vários projetos relacionados a jogos de navegador foram vítimas de um ataque DDoS em larga escala. Os sites atacados estavam hospedados em um VPS não protegido de um provedor de hospedagem russo. Lidar com o ataque por conta própria foi impossível; além do nível L7 (HTTP flood), os atacantes também usaram L4 (TCP/UDP flood), efetivamente matando o canal e os recursos do meu servidor. Como resultado, para proteger vários domínios, tive que conectar urgentemente uma solução externa com proxy de tráfego. Isso custou várias dezenas de milhares de rublos e se transformou em despesas mensais regulares, o que me irritou muito e continua a me irritar até hoje.
Essa experiência me impulsionou a entender como o mercado de ataques DDoS funciona hoje: quem os lança, como funciona e quanto custa em 2026. Durante a pesquisa, encontrei os chamados DDoS stressers - serviços que permitem que qualquer pessoa, por uma taxa relativamente pequena, organize um ataque a qualquer site ou servidor sem qualquer confirmação dos direitos sobre o recurso-alvo. O acesso a essas plataformas é vendido exclusivamente por criptomoeda. A interface desses serviços é extremamente simplificada e é um painel de controle de ataque no qual o destino (endereço IP ou URL) é especificado, a duração do ataque em segundos é especificada, o método de ataque é selecionado - L4 (TCP/UDP) ou L7 (HTTP), após o qual o lançamento e a parada dos ataques são realizados com um ou mais botões. A própria existência de tais serviços não é novidade - ouvi falar dos primeiros deles em 2012, parece que no mesmo ano os criadores desses serviços foram presos. Até hoje, as agências de aplicação da lei, incluindo a Europol, o FBI e outros serviços nacionais, realizam regularmente operações sob o nome geral de PowerOFF. No âmbito dessas atividades, os domínios são bloqueados, a infraestrutura do servidor é apreendida, a identidade dos usuários e criadores de tais serviços é estabelecida, com sua subsequente responsabilização criminal.
No entanto, as empresas russas, sobre as quais falaremos a seguir, desenvolveram sua própria atmosfera, contribuindo para o fato de que representantes do segmento de língua inglesa do cibercrime estão gradualmente transferindo suas atividades para a infraestrutura russa, buscando manter e proteger seus negócios ilegais. Estamos falando de jogadores muito específicos e conhecidos do mercado russo:
RuCenter - um dos maiores registradores de nomes de domínio russos
Reg.Ru - um dos maiores registradores de domínios e provedores de hospedagem russos
DDoS-Guard - uma empresa especializada em proteger recursos da Internet contra ataques DDoS
A entrada da empresa DDoS-Guard nesta lista parece particularmente absurda. Posicionando-se como fornecedora de proteção contra ataques DDoS, na prática, ela acaba sendo integrada à mesma ecossistema contra a qual declara lutar, fornecendo serviços de proteção aos DDoS stressers. Como resultado, surge uma situação paradoxal: a infraestrutura destinada a combater ataques atende simultaneamente àqueles que organizam esses ataques. RuCenter e Reg.Ru - esses não são alguns serviços "à prova de abuso" da zona cinzenta, mas grandes registradores com identificação formalmente ativa de clientes e verificação de dados ao registrar domínios. No entanto, na prática, sua infraestrutura continua a ser usada para registrar domínios que atendem DDoS stressers, bem como sites onde cartões bancários roubados, documentos falsificados e outros serviços ilegais são abertamente negociados. Não estamos falando de incidentes únicos ou omissões aleatórias. O quadro observado é sustentável e sistemático. Os mesmos tipos de recursos: DDoS stressers, fóruns sombrios, sites com conteúdo abertamente ilegal - escolhem consistentemente RuCenter e Reg.Ru para seus domínios. O fator-chave é a reação às reclamações. Na prática, ela está ausente ou se resume a respostas formais do tipo "entre em contato com as agências de aplicação da lei, estamos de mãos atadas". Essa posição, na verdade, isenta os registradores de qualquer responsabilidade pelo que acontece em sua zona de controle. Como resultado, uma regularidade estável é formada: os cibercriminosos escolhem conscientemente as empresas onde o risco de consequências é mínimo. E enquanto essa situação persistir, a infraestrutura desses registradores continua a ser usada para atender serviços ilegais - não apesar das políticas declaradas, mas como resultado de sua ineficácia real.
Como um exemplo visual, a tabela abaixo mostra uma série de stressers e fóruns detectados.
Atenção: É recomendável visitar esses recursos apenas para fins de pesquisa. A criação e o uso de tais serviços na Federação Russa estão sujeitos ao código penal:
Art. 272 do Código Penal da Federação Russa ("Acesso ilegal a informações de computador")
Art. 273 do Código Penal da Federação Russa ("Criação, uso e distribuição de programas maliciosos")
Art. 274 do Código Penal da Federação Russa ("Violação das regras para a operação de meios de armazenamento, processamento ou transmissão de informações de computador")
No contexto de recursos com a venda de cartões bancários roubados e documentos falsificados:
Art. 159.3 do Código Penal da Federação Russa ("Fraude com o uso de meios eletrônicos de pagamento")
Art. 187 do Código Penal da Federação Russa ("Circulação ilegal de meios de pagamento")
Art. 327 do Código Penal da Federação Russa ("Falsificação, fabricação ou circulação de documentos falsificados")
[Tabela com domínios, registradores e informações sobre DDoS-Guard, com dados dinâmicos e informações sobre a proteção de cada site. Devido à formatação do texto original, a tabela não foi reproduzida aqui.]
Olhe para esta lista - e ela está longe de ser completa. Em que os registradores russos estão se transformando, se mesmo em recursos estrangeiros encontrei muitas discussões onde, para atividades ilegais, é recomendado usar domínios registrados através do RuCenter ou Reg.Ru? Nessas mesmas discussões, eles são chamados diretamente de registradores "à prova de balas", ao mesmo tempo em que analisam como contornar a verificação KYC, onde comprar digitalizações e fotos de passaportes russos e como fazer pagamentos usando cartões russos. Em registradores internacionais populares, como GoDaddy, Namecheap, IONOS, Gandi e Tucows, esses recursos vivem não mais do que 72 horas após a reclamação, após o que seus domínios são removidos da delegação, mas os registradores russos, como já observei, têm sua própria atmosfera - e nesse contexto, não é surpreendente que o cibercrime, incluindo o de língua inglesa, esteja migrando para eles.
[Apresentação de screenshots com descrições breves para cada um dos sites considerados, na mesma sequência da tabela, com informações sobre stressers e fóruns ilegais. Devido à formatação do texto original, os screenshots não foram reproduzidos aqui.]
Como você pode entender, este material não teria aparecido se a situação pudesse ser resolvida por meio de apelos padrão ao suporte dos registradores e DDoS-Guard. No Centro de Coordenação de Domínios .RU/.RF, fui recomendado a entrar em contato com o administrador do domínio de nível superior .SU - RIPN, bem como com várias organizações especializadas com as quais eles interagem. Durante um mês, enviei apelos a todas as organizações listadas abaixo - sem fanatismo, duas cartas a cada 14 dias: para endereços de abuso, endereços de e-mail de contato e por meio de formulários de feedback, se disponíveis em seus sites. Os resultados dos apelos em suas telas:
RIPN SU - sem resposta
NCCCI - sem resposta
BI.ZONE - sem resposta
Dr.Web - sem resposta
F6 - sem resposta
RU-CERT - sem resposta
Roskomnadzor - o apelo foi registrado, após um mês não houve nenhuma ação
Ministério do Interior da Federação Russa - o apelo foi registrado, mas nenhuma ação se seguiu durante o mês
E, claro, os principais participantes:
DDoS-Guard - sem resposta
Reg.Ru - sem resposta
RuCenter - uma resposta foi formalmente recebida, mas, na verdade, isso pode ser caracterizado como uma resposta evasiva:
Olá!
A JSC "RSIC" não é um órgão competente para determinar a presença de sinais de crime nas ações de seus clientes. De acordo com a seção 3.18.2 do Acordo de Acreditação de Registradores (RAA) de 2013, o Registrador não é obrigado a tomar nenhuma ação que contradiga a legislação aplicável. RU-CENTER é uma entidade legal criada e operando de acordo com a legislação da Federação Russa. De acordo com as normas da legislação da Federação Russa, a RU-CENTER é obrigada a fornecer serviços aos clientes de boa fé, exceto nos casos em que (i) um tribunal competente tomou outra decisão, (ii) as agências de aplicação da lei da Federação Russa exigem o contrário ou (iii) isso é explicitamente indicado na lei relevante (e a lista de tais casos é exaustiva). O Registrador pode cancelar um domínio ou interromper sua delegação apenas com base em uma solicitação de seu registrante ou dos órgãos acima mencionados. O requerente não é uma agência de aplicação da lei, um órgão de proteção ao consumidor, um quase-governo ou outro órgão semelhante designado pelo governo nacional na jurisdição em que o Registrador é estabelecido e tem um escritório físico (Federação Russa). Se a JSC "RSIC" receber uma ordem das agências de aplicação da lei da Federação Russa ou a mesma decisão judicial, a JSC "RSIC" terá o direito de bloquear o domínio
--
Atenciosamente,
Alexander
Departamento de Atendimento ao Cliente
RuCenter
https://nic.ru
É por isso que, como já observei anteriormente, em plataformas de cibercrime de língua inglesa, os registradores russos já são chamados diretamente de registradores "à prova de balas", e é com os registradores russos que cibercriminosos de todos os tipos registram em massa domínios para seus esquemas sombrios - usando digitalizações e fotos compradas de passaportes russos, bem como cartões de pagamento de outras pessoas.
Com base em tudo o que foi dito acima, gostaria de fazer algumas perguntas aos representantes da Runity @runity - a marca tecnológica que une RuCenter e Reg.Ru, bem como aos representantes da DDoS-Guard @DDoS-GUARD, @olegantipovDDG.
Runity, por que os registradores precisam de canais de comunicação pública abuse@nic.ru e abuse@reg.ru, se quaisquer medidas são tomadas apenas mediante solicitação das agências de aplicação da lei, enquanto os apelos de indivíduos - mesmo com a descrição de violações óbvias e facilmente verificáveis - ou terminam com respostas formais, ou permanecem sem reação, como aconteceu no meu caso com Reg.Ru? Talvez, nesse caso, seja mais correto indicar diretamente nos sites que os apelos de indivíduos não são realmente considerados e a prioridade é dada exclusivamente aos pedidos de órgãos autorizados?
Dado que, para passar pela identificação, os cibercriminosos usam documentos de outras pessoas ou falsificados, bem como indicam números de telefone de outras pessoas ou inexistentes como contatos, surge outra questão - os registradores realmente têm métodos eficazes para verificar a autenticidade dos dados ao registrar domínios, capazes de detectar esses esquemas, ou toda a verificação se limita à coleta formal de dados sem verificar sua verdadeira afiliação ao registrante?
DDoS-Guard, dado o perfil de suas atividades, você deve entender melhor do que muitos o que são DDoS stressers e para que fins eles são usados. Como um funcionário que processou apelos, poderia simplesmente ignorar repetidas reclamações sobre esses recursos e não tomar nenhuma medida? Por que uma empresa envolvida na proteção contra ataques DDoS fornece sua infraestrutura para aqueles que organizam esses ataques?
Além disso, quero apelar a todos os representantes dos órgãos autorizados que, possivelmente, lerão este material. Como pode ser visto em minha experiência de interação com as empresas listadas, nenhuma ação ou sanção foi tomada em relação a nenhum dos recursos especificados em um mês. No momento da publicação deste material, todos os recursos em questão continuam a funcionar. Diante de tal inação, a infraestrutura russa continua a ser usada para realizar ataques DDoS a recursos em todo o mundo, incluindo sites e servidores russos, e sites onde cartões bancários roubados e documentos falsificados são vendidos funcionam sem restrições. Este é um problema sistêmico que requer atenção e reação imediata no nível das estruturas competentes.
