FBIは昨夜、ShinyHuntersグループが運営し、主にランサムウェアや恐喝グループによる攻撃で盗まれた企業データの漏洩ポータルとして使われていたBreachForumsハッキングフォーラムの全ドメインを押収しました。
米国とフランスの法執行機関は協力してBreachForumsのウェブインフラを掌握し、Scattered Lapsus$ Huntersハッカーが脅迫を実行する前に対応しました。
BleepingComputerは、BreachForumsが現在法執行機関の管理下にあることを確認しています。最新のドメイン更新は10月9日に行われ、ネームサーバーもFBIが押収時に使用するものに変更されています。
法執行機関の措置後の分析によると、ShinyHuntersは2023年以降のすべてのBreachForumsデータベースのバックアップと、最新の再起動以降のすべてのエスクロー・データベースが侵害されたと結論付けました。
また、ギャングはバックエンドサーバーも押収されたと述べています。ただし、ダークウェブ上のギャングのデータリークサイトは依然としてオンラインのままです。
ShinyHuntersチームは、コア管理チームの誰も逮捕されていないが、今後BreachForumsを再開することはなく、今後このようなサイトはハニーポットと見なすべきだと述べています。
脅威アクターのメッセージによると、RaidForum摘発後、同じコアチームが複数回フォーラムの再起動を計画し、pompompurinのような管理者を表向きに使っていました。
出典: BleepingComputer
また、サイバー犯罪者らは今回の押収がSalesforceキャンペーンには影響せず、データリークも引き続き本日午後11時59分(米東部時間)に予定通り行われると強調しました。
ギャングのダークウェブ上のデータリークサイトには、FedEx、Disney/Hulu、Home Depot、Marriott、Google、Cisco、Toyota、Gap、McDonald’s、Walgreens、Instacart、Cartier、Adidas、Sake Fifth Avenue、Air France & KLM、Transunion、HBO MAX、UPS、Chanel、IKEAなど、Salesforceキャンペーンで影響を受けた企業の長いリストが掲載されています。
ハッカーによると、顧客に関する10億件以上の記録を盗んだとしています。
昨日当局が押収したBreachForumのバリアントは、同名の以前のプラットフォームとは異なり、サイバー犯罪フォーラムではなく、Salesforce侵害のような大規模キャンペーンのためのデータ恐喝サイトとして機能していたことを明確にしておく必要があります。
出典: BleepingCompuer.com
BreachForumsのクラシック形式での最新の再開は、2025年7月にShinyHuntersによって発表されました。これは、フランスでShinyHunters、Hollow、Noct、Depressedというユーザー名の人物を含む以前の再起動の管理者4人が逮捕された数日後のことでした。
同時に、米国当局はKai West、別名「IntelBroker」というBreachForumsサイバー犯罪エコシステムの著名メンバーに対する起訴を発表しました。
8月中旬、BreachForumsはオフラインとなり、ShinyHuntersはPGP署名付きメッセージを公開し、フォーラムのインフラがフランスのBL2CユニットとFBIによって押収されたこと、今後再起動はないと警告しました。
