BreachForums seizure banner

FBIは、盗まれた企業データを他のサイバー犯罪者に漏洩・販売していた悪名高いハッキング・フォーラム「BreachForums」を押収した。

この差し押さえは水曜日の朝に行われ、先週このサイトがユーロポールの法執行ポータルから盗まれたデータを流出させた直後に行われた。

同サイトは現在、FBIが同サイトとバックエンドデータを管理しているというメッセージを表示しており、法執行機関が同サイトのサーバーとドメインの両方を押収したことを示している。

「このウェブサイトは、FBIと司法省が国際的なパートナーの協力を得て閉鎖しました。

「我々はこのサイトのバックエンドデータを確認しています。BreachForumsでのサイバー犯罪活動について報告する情報をお持ちの方は、ご連絡ください。

また、この押収メッセージには、このサイトの管理者であるバフォメットとシャイニーハンターズの2人のフォーラムのプロフィール写真が、刑務所の鉄格子と重なって表示されている。

彼らの主張通り、法執行機関がハッキング・フォーラムのバックエンド・データにアクセスできたとすれば、電子メールアドレス、IPアドレス、プライベート・メッセージを入手することになり、メンバーの身元が明らかになったり、法執行機関の捜査に利用されたりする可能性がある。

FBIはまた、同サイトのテレグラム・チャンネルやバフォメットが所有する他のチャンネルも押収しており、法執行機関はそれが自分たちの管理下にあるとするメッセージを送っている。

法執行機関が押収したTelegramチャンネルに投稿したメッセージの中には、Baphometのアカウントから直接送られたものもあり、おそらくこの脅迫者が逮捕され、彼のデバイスが法執行機関の手に渡ったことを示しているのだろう。

Seized BreachForums Telegram channel
押収されたBreachForumsのTelegramチャンネル
ソースは こちら:

と共有されたTelegramメッセージの中で、IntelBrokerとして知られる脅威行為者は、Baphometが法執行機関の作戦で逮捕されたとも主張している。

IntelBroker claiming Baphomet was arrested

FBIは、捜査に役立てるため、被害者や個人に対し、ハッキング・フォーラムやそのメンバーに関する情報を連絡するよう要請している。

押収メッセージには、押収に関するFBIへの連絡方法として、電子メール、Telegramアカウント、TOXアカウント、FBIのインターネット犯罪苦情センター(IC3)でホストされている専用ページなどが記載されている。

「連邦捜査局(FBI)は、BreachForumsとRaidforumsとして知られる犯罪ハッキングフォーラムを捜査しています」と、FBIのIC3ポータルの専用サブドメインに書かれている。

“2023年6月から2024年5月まで、BreachForums(breachforums.st/.cx/.is/.vcでホストされ、ShinyHuntersによって運営されていた)は、盗まれたアクセスデバイス、識別手段、ハッキングツール、侵害されたデータベース、その他の違法なサービスを含む禁制品を売買するためのサイバー犯罪者のためのクリアネットマーケットプレイスとして運営されていた。”

“以前は、別バージョンのBreachForums(breach.vc/.to/.coでホストされ、pompompurinが運営)が2022年3月から2023年3月まで同様のハッキングフォーラムを運営していた。Raidforums(raidforums.comでホストされ、Omnipotentが運営)は、BreachForumsの両バージョンの前身となるハッキングフォーラムで、2015年初頭から2022年2月まで運営されていた。”

このIC3のサブドメインは、被害者やその他の個人がBreachForumsとそのメンバーに関する情報を共有するために使用できるフォームをホストしている。

今回の差し押さえについて、FBIと司法省はコメントを拒否した。

悪名高いBreachForums

BreachForumsは、盗まれたデータの取引、販売、漏洩、企業ネットワークへのアクセス権の販売、その他の違法なサイバー犯罪サービスに利用された一連のハッキング・フォーラムの後継サイトである。

これらのサイトの最初のものはRaidForumsとして知られており、当初は2015年に開設され、盗まれたデータを配布する最大のサイトとなり、ランサムウェアや恐喝グループによって一般的に使用されていた。

このサイトは最終的に法執行機関に押収され、警察は「Omnipotent」として知られる所有者を逮捕した。

その直後、より活発なメンバーの一人であるPompompurinが、RaidForumsが残した空白を埋めるために「Breached」という新しいフォーラムを作った。

このサイトは瞬く間に人気を博し、何千人ものメンバーが自分のサイバー犯罪活動を自慢したり、盗んだデータを流出させたり売ったりするために利用した。

しかし、メンバーの一人であるIntelBrokerが、米下院議員やそのスタッフ、家族のための医療機関であるD.C. Health Linkの盗難データを流出させたことで、このサイトはすぐに法執行機関の怒りを買った。

その直後、Breachedは法執行機関に押収され、管理者のコナー・フィッツパトリック(別名ポンポンプリン)が逮捕された。

再び、このサイバー犯罪コミュニティの人々は居場所を失い、Breachedの以前の管理者の一人であるバフォメット(Baphomet)は、盗難データの悪名高い販売者であるシャイニー・ハンターズ(ShinyHunters)と組んで、BreachForumsという新しいサイトを立ち上げた。

他のサイトと同様、BreachForumsは、AT&T23andMeHewlett Packard EnterpriseHome DepotDellPandaBuyThe Post Millenialなど、新たな侵害から流出した盗難企業データで瞬く間に人気サイトになった。

今日の押収メッセージは、法執行機関が脅威行為者の活動を監視するために、サイトのサーバーに、潜在的には長い間アクセスしていたことを示している。

しかし、度を越した侵害は、IntelBrokerとして知られる脅威行為者によってEuropolのPlatform for Experts(EPE)ポータルから盗まれたデータが最近流出し、法執行機関が行動を起こさざるを得なくなったことかもしれない。