Спецслужбы США и ЕС заблокировали работу хакерского ресурса RaidForums

Информационная безопасность
В ходе международной операции Tourniquet под управлением Европола правоохранительным органам удалось закрыть хакерский ресурс RaidForums. В основном он использовался для торговли украденными базами данных.  Правоохранители арестовали администратора RaidForums и двоих его сообщников. Инфраструктура сайта находится под контролем Европола. Захвачены все домены, на которых размещается RaidForums: raidforums.com, rf.ws и raid.lol. Операция готовилась больше года. В ней принимали участие США, Великобритания, Швеция, Германия, Португалия и Румыния. Минюст США объявил , что администратор сайта под ником Omnipotent был арестован еще 31 января 2022 в Великобритании, и ему уже предъявили обвинения. Известно, что под псевдонимом Omnipotent скрывался 21-летний гражданин Португалии Диогу Сантос Коэльо. Однако на момент запуска RaidForums в 2015 году ему было 14 лет. По данным американского минюста, на RaidForums было выставлено на продажу более 10 млрд уникальных записей из сотни ворованных баз данных, в том числе затрагивающие людей, проживающих в США. По информации Европола, на RaidForums насчитывалось более 500 000 пользователей, и он был «одним из крупнейших хакерских форумов в мире». Правоохранители отмечают, что торговая площадка продавала доступы к громким утечками БД, принадлежавших различным американским корпорациям. В них содержалась информация о миллионах кредитных карт, номерах банковских счетов и маршрутной информации, а также именах пользователей и связанных с ними паролях. В 2021 году на форуме опубликовали 1,5 млн скан-копий паспортов российских пользователей Oriflame. Коэльо, по данным правоохранителей, курировал RaidForums с 1 января 2015 года. Для получения прибыли форум брал с пользователей плату за различные уровни членства и продавал кредиты, которые позволяли открывать более привилегированные области сайта или получать доступ к ворованным данным. По информации Bleeping Computer, в феврале 2022 года исследователи заподозрили захват инфраструктуры RaidForums правоохранительными органами.  Тогда при попытке войти на сайт тот просто снова показывал страницу входа вместо формы для заполнения, и многие заподозрили, что это фишинговая атака правоохранительных органов, которые пытаются получить учетные данные злоумышленников. 27 февраля DNS-серверы raidforums.com и изменились на jocelyn.ns.cloudflare.com и plato.ns.cloudflare.com, которые ранее использовались захваченными властями сайтами, включая weleakinfo.com и doublevpn.com. При этом на форуме появилась информации об утечке базы данных клиентов СДЭК. В последнее время RaidForums использовали криптовымогатели, например, Babuk и Lapsus$. )
Теги:
Хабы: