O fórum de hackers RaidForums, usado principalmente para negociar e vender bancos de dados roubados, foi fechado e seu domínio apreendido pela polícia dos EUA durante a Operação TOURNIQUET. Esta foi uma ação coordenada pela Europol que envolveu agências de aplicação da lei em vários países. Portanto, a polícia fecha site hacker RaidForums e dono é preso.
O administrador do RaidForum e dois de seus cúmplices foram presos, e a infraestrutura do mercado ilegal está agora sob o controle da aplicação da lei.
Garoto de 14 anos deu início ao RaidForums
O administrador e fundador do RaidForums, Diogo Santos Coelho, de Portugal, vulgo Omnipotente, foi detido a 31 de janeiro no Reino Unido. Agora, ele enfrenta acusações criminais. Coelho está detido, aguardando a resolução de seu processo de extradição. O Departamento de Justiça dos EUA diz que Coelho tem 21 anos, o que significa que ele tinha apenas 14 quando lançou o RaidForums em 2015.
Três domínios que hospedam RaidForums foram apreendidos: “raidforums.com”, “Rf.ws” e “Raid.Lol”.
De acordo com o DoJ, o mercado ofereceu à venda mais de 10 bilhões de registros únicos de centenas de bancos de dados roubados que impactaram pessoas que residem nos EUA.
De Portugal para o mundo
Em um anúncio à parte, a Europol diz que o RaidForums tinha mais de 500.000 usuários e “foi considerado um dos maiores fóruns de hackers do mundo”.
Esse mercado ganhou fama ao vender acesso a vazamentos de banco de dados de alto perfil pertencentes a várias corporações dos EUA em diferentes setores. Estes continham informações sobre milhões de cartões de crédito, números de contas bancárias e informações de encaminhamento, e os nomes de utilizador e palavras-passe associadas necessários para aceder a contas online”, disse a Europol.
Polícia fecha site hacker RaidForums e dono é preso
A derrubada do fórum e de sua infraestrutura é resultado de um ano de planejamento entre as autoridades policiais dos Estados Unidos, Reino Unido, Suécia, Portugal e Romênia.
Não está claro quanto tempo a investigação levou, mas a colaboração entre as agências de aplicação da lei permitiu que as autoridades pintassem uma imagem clara dos papéis que diferentes indivíduos tinham dentro dos RaidForums.
A agência europeia de aplicação da lei compartilhou poucos detalhes em seu comunicado de imprensa, mas observa que as pessoas que mantinham o RaidForums funcionando trabalhavam como administradores, lavadores de dinheiro, roubavam e carregavam dados e compravam as informações roubadas.
Coelho supostamente controlava o RaidForums desde 1º de janeiro de 2015, revela a acusação, e operava o site com a ajuda de alguns administradores, organizando sua estrutura para promover a compra e venda de bens roubados.
Para obter lucro, o fórum cobrava taxas para vários níveis de associação e vendia créditos que permitiam aos membros acessar áreas privilegiadas do site ou dados roubados despejados no fórum.
Coelho também atuou como um intermediário confiável entre as partes que faziam uma transação, para fornecer confiança de que compradores e vendedores honrariam seu acordo.
Membros tornam-se suspeitos em fevereiro
Uma posição unânime de pesquisadores de segurança e pessoas mal intencionadas é de que a polícia já detinha o controle do site pelo menos desde fevereiro. Isso porque o RaidForums começou a mostrar um formulário de login em todas as páginas. Assim, seria possível identificar os criminosos.
No entanto, ao tentar fazer login no site, ele simplesmente mostrava a página de login novamente.
Isso levou pesquisadores e membros do fórum a acreditar que o site foi apreendido e que o prompt de login era uma tentativa de phishing da polícia para coletar as credenciais dos criminosos.
Em 27 de fevereiro de 2022, os servidores DNS do raidforums.com foram repentinamente alterados para os seguintes servidores:
jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com
Como esses servidores DNS foram usados anteriormente com outros sites apreendidos pela polícia, incluindo weleakinfo.com e doublevpn.com, os pesquisadores acreditavam que isso acrescentou mais suporte de que o domínio foi apreendido.
Local favorito de hackers
Antes de se tornar o lugar favorito dos hackers para vender dados roubados, o RaidForums teve um começo mais humilde e foi usado para organizar vários tipos de assédio eletrônico, que incluíam golpes de alvos (fazer relatórios falsos que levam à intervenção armada da lei) e “invasão”, que o DoJ descreve como “postar ou enviar um volume esmagador de contatos para o meio de comunicação online de uma vítima”.
O site tornou-se conhecido nos últimos dois anos e era frequentemente usado por gangues de ransomware e extorsionistas de dados para vazar dados como forma de pressionar as vítimas a pagar um resgate, e foi usado tanto pela gangue de ransomware Babuk quanto pela Lapsus$ grupo de extorsão no passado.
O mercado está ativo desde 2015 e foi por muito tempo o caminho mais curto para os hackers venderem bancos de dados roubados ou compartilhá-los com membros do fórum.
Os dados confidenciais negociados no fórum incluíam informações pessoais e financeiras, como roteamento bancário e números de contas, cartões de crédito, informações de login e números de previdência social.
Enquanto muitos fóruns de crimes cibernéticos atendem a agentes de ameaças que falam russo, o RaidForums se destacou como o fórum de hackers de língua inglesa mais popular.
Depois que a Rússia invadiu a Ucrânia e muitos atores de ameaças começaram a tomar partido, o RaidForums anunciou que estava banindo qualquer membro conhecido por estar associado à Rússia.
Via BleepingComputer