Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Autore: Pietro Melillo e Massimiliano Brolli
BreachForums, uno dei più celebri e controversi mercati underground, è tornato online sulla clearnet. Questa riapertura segna un punto di svolta significativo per la comunità degli utenti, i quali possono ora accedere al forum senza dover utilizzare il dark web.
Il forum underground Raid Forums – successivamente noto come Breach Forums – era una piattaforma online che ha operato come punto di ritrovo per il cybercrime. Individui interessati all’hacking e alla violazione dei dati hanno utilizzato tale forum come mezzo di comunicazione, il quale ha garantito loro il pieno anonimato.
La storia di Raid Forums ha radici lontane. Questa piattaforma forniva uno spazio anonimo in cui gli utenti potevano discutere di varie attività malevole, come scambiare informazioni e vendere o scambiare dati rubati. Raid Forums ha guadagnato popolarità nella comunità underground, diventando un punto di riferimento per gli hacker criminali. Ma anche per le forze dell’ordine e per i ricercatori di sicurezza tale forum è diventato un punto focale per comprendere le minacce.
Tuttavia, l’attenzione delle autorità governative e della polizia internazionale si è concentrata sempre più sulle attività criminali online. A causa della crescenti pressioni legali, molti di questi forum hanno subito azioni legali e sono stati chiusi.
Nel caso specifico di Raid Forums, è stata preso di mira dalle ad aprile del 2022 in un’operazione congiunta tra le autorità di diversi paesi. I dettagli esatti non sono pienamente noti, ma le azioni hanno portato alla chiusura del forum e all’arresto degli amministratori e dei membri chiave.
Successivamente, alcuni degli utenti di Raid Forums sono migrati verso una nuova piattaforma denominata Breach Forums (la MKI). Questo nuovo forum divenne il nuovo punto di incontro per coloro interessati alla violazione dei dati e al traffico di informazioni sensibili.
Tuttavia, anche il primo Breach Forums è stato oggetto di un’operazione delle forze dell’ordine a marzo del 2023. La polizia arrestò Brian Fitzpatrick, il suo amministratore conosciuto come PomPomPurin, un ragazzo di 20 anni. Le autorità hanno indagato sulle attività illecite che si svolgevano sulla piattaforma e hanno attivato delle azioni per porre fine alle attività criminali in corso. Ciò ha portato alla chiusura di Breach Forums da parte dei restanti membri dopo l’arresto di Fitzpatrick e ad altri individui coinvolti in quanto non ritenuto sicuro.
Successivamente, il crimine informatico ritrovò orfano di un punto di aggregazione complessivo. Infatti molti forum underground tentarono di poter occupare tale spazio, come ad esempio la cybergang ARES con LeackBase. Altri forum come Exposed e Leakbase (questa volta lingua russa da non confondere con il precedente), stavano tentando il colpo.
Intanto tra i membri del forum, Baphomet, promise a tutta la community di prendere in mano il backup del primo Breach Forums ed implementare una nuova istanza (la seconda). Baphomet dichiarò di avere accesso alla vecchia infrastruttura IT di Breach Forums, me per problemi di sicurezza la mise offline. Scrisse che potrebbe sembrare una mossa azzardata, ma volevariprogettarla con calma per evitare possibili interferenze dell’FBI. Infatti in data 12 giugno 2023 apparse una nuova istanza di Breach Forums (la MKII).
Tale seconda istanza rimase attiva per circa un anno e Baphonet rimase l’amministratore del sito, membro anche del gruppo ShinyHunters. Dopo quattro giorni dopo la pubblicazione di un databreach ai danni della Europol su Breach Forums, da parte IntelBroker, anche lui membro di ShinyHunters, lo stesso venne sequestrato una seconda volta dalle forze dell’ordine. L’immagine che questa volta era stata inserita all’interno della homepage da parte delle forze dell’ordine era simile ad un deface “hacktivista”, più che ad una vera e propria pagina di sequestro. Oltre al sito, le forze dell’ordine sequestrarono anche il canale Telegram Jacuzzi, dove i criminali informatici potevano parlare e scambiarsi informazioni.
Subito dopo venne ricreato il canale Telegram Jacuzzi 2 ed inserita una pagina di cortesia sul sito dove veniva riportato che il sito era in manutenzione, ma poco dopo ritornò online per la gioia dei criminali informatici che all’interno della chat Jacuzzi 2 trollavano le forze dell’ordine con molta goliardia.
BreachForums è quindi conosciuto per essere un centro nevralgico per il traffico di dati rubati e la vendita di informazioni sensibili. Come abbiamo visto ha avuto una storia travagliata. Nato come punto di incontro per hacker e cybercriminali, il forum ha subito numerosi attacchi, chiusure forzate, databreach e interventi delle autorità. Nonostante queste difficoltà, è sempre riuscito a riemergere, attirando un vasto numero di utenti interessati a sfruttare le informazioni e i servizi offerti.
È importante sottolineare che le attività dei forum underground come Raid Forums e Breach Forums sono illegali e dannose. Le forze dell’ordine lavorano costantemente per contrastare tali comportamenti illegali e per proteggere gli utenti online da violazioni dei dati e altre forme di cybercriminalità.
La notizia della riapertura di BreachForums sulla clearnet ha suscitato grande interesse. Questa mossa strategica consente un accesso più facile e diretto al forum, riducendo la necessità di utilizzare strumenti anonimi come Tor. Gli amministratori del forum hanno comunicato questa novità attraverso un annuncio ufficiale, sottolineando come la decisione sia stata presa per facilitare la partecipazione della comunità e attrarre nuovi utenti.
Notizia dal canale Telegram: The Jacuzzi 2.0
Sono successe delle cose folli recentemente. Per prima cosa, Spamhaus ha inserito nella blacklist il nostro host SMTP. Poi, abbiamo avuto ulteriori problemi con la configurazione del nostro NGINX. Come ciliegina sulla torta, il nostro account Telegram (@shinycorp) e il gruppo “Jacuzzi 2.0” sono stati bannati e inseriti nella blacklist. A causa di tutto questo, ci stiamo allontanando dall’utilizzo di qualsiasi account Telegram per ShinyHunters, e onestamente, tutto ciò ha un po’ minato la nostra motivazione per mantenere attivo il forum, anche se lo manterremo in vita.
Se avete domande su rango, escrow, o qualsiasi altra cosa, contattate {Admin} Hollow (probabilmente il prossimo proprietario). Inoltre, il canary è stato aggiornato.
PGP: [link a pastebin] Link Archivio PGP: [link a web.archive]
ShinyHunters è un gruppo di hacker noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mirati a varie aziende, che hanno portato al furto e alla vendita di grandi quantità di dati sensibili.
ShinyHunters è stato collegato a violazioni di sicurezza che hanno coinvolto aziende come Microsoft, Banco Santander, Ticketmaster e molte altre. Di solito utilizzano metodi come il phishing per ottenere credenziali di accesso legittime, che vengono poi utilizzate per accedere ai sistemi aziendali e sottrarre dati. Questi dati vengono spesso venduti su forum del dark web, tra cui BreachForums, che è stato gestito da ShinyHunters.
Nel 2020, sono stati responsabili di una significativa violazione dell’account GitHub di Microsoft, rubando oltre 500GB di codice sorgente. Altri incidenti notevoli includono le violazioni di Wishbone, Tokopedia e il massiccio furto di dati da Ticketmaster che ha coinvolto 560 milioni di utenti. Più recentemente, hanno affermato di aver violato Banco Santander, offrendo in vendita dati su 30 milioni di clienti e dipendenti
Le forze dell’ordine hanno attivamente perseguito i membri di ShinyHunters. Ad esempio, Sebastien Raoult,
un membro sospettato, è stato estradato negli Stati Uniti dal Marocco e rischia gravi pene per il suo coinvolgimento, tra cui accuse di frode telematica e furto di identità.
Nel complesso, ShinyHunters rimane una minaccia significativa nel panorama del crimine informatico, evolvendo continuamente le loro tattiche e prendendo di mira una vasta gamma di organizzazioni a livello globale.
Il ritorno di BreachForums sulla clearnet rappresenta un evento di grande rilevanza nel panorama della sicurezza informatica. Con nuove funzionalità e una maggiore accessibilità, il forum promette di attirare un numero ancora maggiore di utenti. Tuttavia, le implicazioni di questa mossa sono complesse e richiederanno una vigilanza continua da parte delle autorità per mitigare i rischi associati.
