Le FBI a saisi le tristement célèbre forum de piratage BreachForums qui a divulgué et vendu des données d’entreprise volées à d’autres cybercriminels.

La saisie a eu lieu mercredi matin, peu de temps après que le site a été utilisé la semaine dernière pour divulguer des données volées sur un portail d’application de la loi d’Europol.

Le site Web affiche maintenant un message indiquant que le FBI a pris le contrôle de celui-ci et des données backend, indiquant que les forces de l’ordre ont saisi à la fois les serveurs et les domaines du site.

« Ce site Web a été supprimé par le FBI et le ministère de la Justice avec l’aide de partenaires internationaux », lit-on dans le message de saisie.

« Nous examinons les données backend de ce site. Si vous avez des informations à signaler sur des activités cybercriminelles sur BreachForums, veuillez nous contacter », poursuit la bannière de saisie.

Le message de saisie montre également les deux photos de profil du forum des administrateurs du site, Baphomet et ShinyHunters, recouvertes de barreaux de prison.

Si les forces de l’ordre avaient accès aux données principales du forum de piratage, comme elles le prétendent, elles disposeraient d’adresses électroniques, d’adresses IP et de messages privés qui pourraient exposer les membres et être utilisés dans les enquêtes des forces de l’ordre.

Le FBI a également saisi la chaîne Telegram du site, les forces de l’ordre envoyant des messages indiquant qu’elle est sous leur contrôle.

L’un des messages publiés sur la chaîne Telegram saisie par les forces de l’ordre provenait directement du compte de Baphomet, indiquant peut-être que l’acteur menaçant a été arrêté et que ses appareils sont maintenant entre les mains des forces de l’ordre.

Forums de violation saisis Canal Telegram

Le FBI demande aux victimes et aux particuliers de les contacter avec des informations sur le forum de piratage et ses membres pour les aider dans leur enquête.

Les messages de saisie incluent des moyens de contacter le FBI à propos de la saisie, notamment un e-mail, un compte Telegram, un compte TOX et une page dédiée hébergée sur le Centre de traitement des plaintes contre la criminalité sur Internet (IC3) du FBI.

« Le Federal Bureau of Investigation (FBI) enquête sur les forums de piratage criminel connus sous le nom de BreachForums et Raidforums », lit-on dans un sous-domaine dédié sur le portail IC3 du FBI.

« De juin 2023 à mai 2024, BreachForums (hébergé à breachforums.st/.cx/.is/.vc et géré par ShinyHunters) fonctionnait comme un marché en clair permettant aux cybercriminels d’acheter, de vendre et d’échanger de la contrebande, y compris des dispositifs d’accès volés, des moyens d’identification, des outils de piratage, des bases de données piratées et d’autres services illégaux. »

« Auparavant, une version distincte de BreachForums (hébergée à breached.vc/.to/.co et dirigé par pompompurin) a exploité un forum de piratage similaire de mars 2022 à mars 2023. Raidforums (hébergé à raidforums.com et géré par Omnipotent) était le forum de piratage prédécesseur des deux versions de BreachForums et a fonctionné de début 2015 à février 2022. »

Ce sous-domaine IC3 héberge un formulaire que les victimes et d’autres personnes peuvent utiliser pour partager des informations sur BreachForums et ses membres.

Les forums de rupture notoires
BreachForums était le successeur d’une série de forums de piratage utilisés pour échanger, vendre et divulguer des données volées, ainsi que pour vendre l’accès aux réseaux d’entreprise et à d’autres services illégaux de cybercriminalité.

Le premier de ces sites était connu sous le nom de RaidForums, qui a été initialement lancé en 2015 et est devenu le plus grand site de distribution de données volées, et était couramment utilisé par les ransomwares et les groupes d’extorsion.

Le site a finalement été saisi par les forces de l’ordre, la police arrêtant le propriétaire connu sous le nom de « Omnipotent ».

Peu de temps après, l’un de ses membres les plus actifs, Pompompurin, a créé un nouveau forum appelé « Breached » pour combler le vide laissé par RaidForums.

Le site a rapidement gagné en popularité et a été utilisé par des milliers de membres pour se vanter de leurs activités de cybercriminalité et pour divulguer et vendre des données volées.

Cependant, le site a rapidement suscité la colère des forces de l’ordre après qu’un de ses membres, IntelBroker, a divulgué les données volées de DC Health Link, un fournisseur de soins de santé pour les membres de la Chambre des États-Unis, leur personnel et leurs familles.

Peu de temps après, Breached a été saisi par les forces de l’ordre et son administrateur, Conor Fitzpatrick (alias Pompompurin), a été arrêté.

Une fois de plus, les membres de cette communauté de cybercriminalité se sont retrouvés sans domicile, alors l’un des anciens administrateurs de la violation, connu sous le nom de Baphomet, s’est associé à ShinyHunters, un vendeur notoire de données volées, pour lancer un nouveau site nommé BreachForums.

Comme les autres sites, BreachForums est rapidement devenu populaire avec des fuites de données d’entreprise volées à la suite de nouvelles violations, notamment celles sur AT&T, 23andMe, Hewlett Packard Enterprise, Home Depot, Dell, PandaBuy et The Post Millenial.

Le message de saisie d’aujourd’hui indique que les forces de l’ordre ont eu accès aux serveurs du site, potentiellement depuis longtemps, car elles surveillaient les activités des acteurs de la menace.

Cependant, la violation qui est allée trop loin a peut-être été la récente fuite de données volées sur le portail de la Plate-forme d’experts d’Europol (EPE) par un acteur de la menace connu sous le nom d’IntelBroker, forçant les forces de l’ordre à prendre des mesures.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *