В ходе международной операции TOURNIQUET, которую координировал Европол, был закрыт известный хакерский ресурс RaidForums, в основном использовавшийся для торговли украденными базами данных. Администратор RaidForums и двое его сообщников арестованы, а инфраструктура сайта теперь находится под контролем правоохранительных органов.
Как сообщается, операцию более года готовили власти США, Великобритании, Швеции, Германии, Португалии и Румынии.
Министерство юстиции США пишет, что администратор сайта, известный под ником Omnipotent, был арестован еще 31 января 2022 в Великобритании, и ему уже предъявлены обвинения. Он находился под стражей с момента ареста до завершения процедуры экстрадиции.
Так как за псевдонимом Omnipotent скрывался 21-летний гражданин Португалии Диогу Сантос Коэльо (Diogo Santos Coelho), выходит, что он запустил RaidForums, когда ему было 14 лет, так как сайт работал с 2015 года.
Правоохранители захватили домены, на которых размещается RaidForums: raidforums.com, rf.ws и raid.lol.
По статистике Министерства юстиции США, в общей сложности на торговой площадке было выставлено на продажу более 10 млрд уникальных записей из сотни ворованных баз данных, в том числе затрагивающие людей, проживающих в США. В свою очередь Европол сообщает, что на RaidForums насчитывалось более 500 000 пользователей, и он был «одним из крупнейших хакерских форумов в мире». Здесь стоит добавить, что речь идет об англоязычных ресурсах.
«Эта торговая площадка сделала себе имя, продавая доступы к громким утечками БД, принадлежавших различным американским корпорациям из разных отраслей. В них содержалась информация о миллионах кредитных карт, номерах банковских счетов и маршрутной информации, а также именах пользователей и связанных с ними паролях, необходимых для доступа к онлайн-аккаунтам», — сообщает Европол.
Пока неизвестно, сколько времени в целом заняло расследование, но, похоже, правоохранительным органам удалось составить довольно четкую картину иерархии RaidForums. В пресс-релизе Европола отмечается, что люди, которые поддерживали работу RaidForums, занимались администрированием, отмыванием денег, похищали и загружали на сайт данные, а также скупали краденую информацию.
При этом упомянутый выше Диогу Сантос Коэльо якобы контролировал RaidForums с 1 января 2015 года, то есть с самого старта, и управлял сайтом при поддержке нескольких администраторов, организовав структуру для продвижения покупки и продажи ворованных данных. Чтобы получать прибыль, форум взимал с пользователей плату за различные уровни членства и продавал кредиты, которые позволяли участникам получать доступ к более привилегированным областям сайта или к ворованным данным, размещенным на форуме.
Коэльо также выступал в качестве посредника и гаранта между сторонами, совершающими сделки, обязуясь следить, что покупатели и продавцы будут соблюдать соглашения.
Издание Bleeping Computer пишет, еще в феврале 2022 года преступники и ИБ-исследователи заподозрили, что RaidForums захвачен правоохранительными органами, так как сайт начал отображать форму входа на каждой странице. При попытке войти на сайт, тот просто снова показывал страницу входа, и многие заподозрили, что сайт захвачен и это фишинговая атака правоохранительных органов, которые пытаются получить учетные данные злоумышленников.
27 февраля 2022 года DNS-серверы raidforums.com и вовсе изменились на jocelyn.ns.cloudflare.com и plato.ns.cloudflare.com, что только убедило хакеров в их правоте. Дело в том, что в прошлом эти DNS-серверы использовались другими сайтами, захваченными властями, включая weleakinfo.com и doublevpn.com.
RaidForums, появившийся еще в 2015 году, в последнее время приобрел широкую известность из-за операторов вымогательской малвари, которые сливали на сайт украденные у жертв данные, чтобы заставить их заплатить выкуп. К примеру, такую тактику раньше использовали операторы Babuk и Lapsus$.
Однако раньше, когда ресурс не был так популярен, его сообщество специализировалось на сваттинге (от английского swatting: к жертвам домой вызывали наряд спецназа, сообщая о ложных угрозах взрыва, захвате заложников и так далее), а также рейдинге (от английского raiding), который Минюст США описывает как «публикацию или отправку огромного количества контактов в онлайн-среду, которую жертва использует для общения».
В последние годы торговая площадка стала излюбленным местом хакеров, где они продавали украденные базы данных или просто бесплатно делились ими с другими участниками форума.
