FBIとフランス警察、BreachForumsのドメインを再び閉鎖

FBIとフランスの捜査官は、最近のSalesforce侵害に関連してリークサイトとして利用されていた人気のサイバー犯罪フォーラムの少なくとも1つのドメインを押収しました。

X（旧Twitter）に投稿されたスクリーンショットには、BreachForumsのクリアウェブサイトがFBI、司法省、フランスのサイバー犯罪警察グループBL2C、パリ検察局JUNALCOのロゴで飾られている様子が映っています。

「FBIとそのパートナーは、ShinyHunters、Baphomet、IntelBrokerが盗まれたデータの取引や恐喝の促進に利用していた主要な犯罪マーケットプレイスであるBreachForumsに関連するドメインを押収しました」と、添付の投稿で説明しています。

「この摘発により、これらのアクターが侵害を収益化し、協力者を募集し、複数の業界で被害者を標的にするために利用していた主要なハブへのアクセスが遮断されました。これは、サイバー犯罪の背後にいる者に対してコストを課すための国際的な法執行機関の協調した作戦の影響力を示しています。」

Salesforce侵害の詳細はこちら：進行中のSalesforceデータ窃盗キャンペーンで被害を受けたGoogle

通知では複数のドメインについて言及されていますが、広く報道されているところによると、当局が妨害したのは「breachforums[.]hn」のみで、関連する.onionサイトは依然としてオンラインのままです。

つまり、この押収によって最近のSalesforceキャンペーンの被害者への恐喝を止める効果はほとんどありません。Scattered Lapsus$ Huntersは10億件以上の記録を保有していると主張し、交渉の期限を10月10日としています。

SOCRadarによって再投稿されたShinyHuntersからの別のPGP署名付き声明では、Feds（連邦当局）が2023年以降のBreachForumsサイトのすべてのデータベースバックアップも押収し、すべてのエスクロー（仲介）データベースが侵害されたと主張しています。バックエンドサーバーも破壊されたと付け加えています。

「BreachForumsは二度と戻ってこない。もし戻ってきたら、それはすぐにハニーポットと見なされるべきだ」と声明は続けています。

「この押収について特に言うことはありませんが、米国政府が最近我々に対して行った行動は、我々のSalesforceキャンペーンには何の影響もありません。」

Salesforceの被害者は依然として危険にさらされている

Xcapeのシニアセキュリティエンジニア、ノエル・ムラタ氏も、この摘発が恐喝キャンペーンを阻止する効果はほとんどないと同意しています。

「Salesforce侵害の影響を受けた組織は、フォーラムがオフラインになっていてもデータ漏洩の可能性に備えるべきです。これには監視体制の強化や対応計画の策定が含まれます」と彼女は述べています。

「この状況で法執行機関の効果が高まった一方で、脅威アクターが適応し新たなプラットフォームを見つける能力も高まっており、攻撃と防御、そして法執行機関の役割の間で絶えず変化する駆け引きが浮き彫りになっています。」

しかし、バックアップの押収は他の捜査で法執行機関の助けになる可能性があると、AppOmniの最高セキュリティ責任者コリー・ミカル氏は述べています。

「それが事実なら興味深いですね。なぜなら、これで捜査官が過去数年で最も活発だった犯罪コミュニティの1つから、登録情報、IPログ、プライベートメッセージ、取引記録などの過去のユーザーデータにアクセスできることになるからです」と彼は付け加えました。

「このレベルの可視性は、関係性のマッピングや、偽名と実際の身元の紐付け、常習犯に対するより強力な刑事事件の構築に直接役立ちます。単なるドメインの押収ではなく、捜査を進展させるための証拠の宝庫となる可能性があります。」

Salesforceキャンペーンを通じて、FedEx、Home Depot、Google、Air France/KLM、Chanel、Pandora、Adidasなど、数十の組織が侵害されたと考えられています。

被害者は、ビッシングキャンペーンでSalesforceのData Loaderアプリの悪意あるバージョンをダウンロードするよう騙されたか、サードパーティのSalesloft Driftアプリケーションに関連するOAuthトークンを通じて侵害されました。