BreachForums: Cyberkriminelle Forum-Domain von Behörden beschlagnahmt

In einer koordinierten Aktion haben US-amerikanische und französische Strafverfolgungsbehörden eines der Portale des Cyberkriminalitätsforums BreachForums offline geschaltet. Es diente als Plattform, um Dutzende Unternehmen zu erpressen, die Opfer eines Datenlecks waren im Zusammenhang mit Salesforce.

Mit einer .hn-Erweiterung zeigt der Domainname jetzt ein offizielles Eintragsbanner an. Die Operation wurde kurz vor Ablauf der Frist durchgeführt, die die Cyberkriminellen gesetzt hatten, um mit der Veröffentlichung der gestohlenen Informationen zu beginnen, falls kein Lösegeld gezahlt würde.

Die Gruppe nennt sich Scattered Lapsus$ Huntersund Mitglieder bekannter Kollektive wie ShinyHunters, Scattered Spider und Lapsus$ zusammenbrachte, nutzte die Website, um ihre Opfer aufzulisten.

Wie kam es zu dieser internationalen Beschlagnahmung?

Die Operation wurde veröffentlicht, als Besucher des Geländes mit einer Nachricht begrüßt wurden, die auf die Beschlagnahme durch das FBI, das US-Justizministerium sowie ihre französischen Kollegen von der Brigade de Lutte Contre la Crimealité (BL2C) und der Nationalen Gerichtsbarkeit zur Bekämpfung der organisierten Kriminalität (JNLCO) hinweist.

Die Nameserver der Domain wurden auf die von der US-Regierung kontrollierten Server umgeleitet, eine gängige Taktik bei solchen Beschlagnahmungen. Ziel war es, den Boden unter den Füßen herauszuziehen Cyberkriminellen, bevor sie ihre Drohung wahr machen und die Daten von mehr als einer Milliarde Kundendaten veröffentlichen können, die sie angeblich gestohlen haben.

Die Reaktion von Cyberkriminellen

Cyberkriminelle sind noch lange nicht besiegt über ihren Telegram-Kanal schnell kommuniziert, um die Übernahme der Domain zu bestätigen und gleichzeitig deren Auswirkungen zu minimieren.

Sie versicherten, dass diese Aktion „ hat keinen Einfluss auf unsere Salesforce-Kampagnen “ und dass die Veröffentlichung der gestohlenen Daten tatsächlich wie geplant erfolgen würde, jedoch auf ihrer im Tor-Netzwerk gehosteten Spiegelseitedas schnell restauriert wurde. Qantas scheint den Preis dafür bezahlt zu haben.

In einer mit ihrem PGP-Schlüssel unterzeichneten Nachricht fügten ShinyHunters-Mitglieder sogar hinzu, dass diese Beschlagnahme unvermeidlich sei und dass die Ära der frei empfangbaren Foren vorbei sei, was darauf hindeutet, dass solche Plattformen nun als potenzielle von den Behörden aufgestellte Fallen betrachtet werden sollten.

Implikationen über das Tippen hinaus

A priori ohne Festnahme besteht die bedeutendste Auswirkung der Strafverfolgungsmaßnahme möglicherweise nicht in der Beschlagnahme des Eigentums selbst. Sie haben angeblich alle Backups der BreachForums-Datenbank in die Hände bekommen seit 2023.

Solche Aufzeichnungen könnten Informationen über Forummitglieder und Aktivitäten enthalten und den Weg für zukünftige Ermittlungen und Verhaftungen ebnen. Allerdings hat sich das Cyberkriminalitäts-Ökosystem bislang als äußerst widerstandsfähig erwiesen.