Спецслужбы США и ЕС заблокировали работу хакерского ресурса RaidForums
В ходе международной операции Tourniquet под управлением Европола правоохранительным органам удалось закрыть хакерский ресурс RaidForums. В основном он использовался для торговли украденными базами данных.
Правоохранители арестовали администратора RaidForums и двоих его сообщников. Инфраструктура сайта находится под контролем Европола. Захвачены все домены, на которых размещается RaidForums: raidforums.com, rf.ws и raid.lol.
Операция готовилась больше года. В ней принимали участие США, Великобритания, Швеция, Германия, Португалия и Румыния.
Минюст США объявил, что администратор сайта под ником Omnipotent был арестован еще 31 января 2022 в Великобритании, и ему уже предъявили обвинения. Известно, что под псевдонимом Omnipotent скрывался 21-летний гражданин Португалии Диогу Сантос Коэльо. Однако на момент запуска RaidForums в 2015 году ему было 14 лет.
По данным американского минюста, на RaidForums было выставлено на продажу более 10 млрд уникальных записей из сотни ворованных баз данных, в том числе затрагивающие людей, проживающих в США. По информации Европола, на RaidForums насчитывалось более 500 000 пользователей, и он был «одним из крупнейших хакерских форумов в мире». Правоохранители отмечают, что торговая площадка сделала продавала доступы к громким утечками БД, принадлежавших различным американским корпорациям. В них содержалась информация о миллионах кредитных карт, номерах банковских счетов и маршрутной информации, а также именах пользователей и связанных с ними паролях. В 2021 году на форуме опубликовали 1,5 млн скан-копий паспортов российских пользователей Oriflame.
Коэльо, по данным правоохранителей, курировал RaidForums с 1 января 2015 года. Для получения прибыли форум брал с пользователей плату за различные уровни членства и продавал кредиты, которые позволяли открывать более привилегированные области сайта или получать доступ к ворованным данным.
По информации Bleeping Computer, в феврале 2022 года исследователи заподозрили захват инфраструктуры RaidForums правоохранительными органами. Тогда при попытке войти на сайт тот просто снова показывал страницу входа вместо формы для заполнения, и многие заподозрили, что это фишинговая атака правоохранительных органов, которые пытаются получить учетные данные злоумышленников. 27 февраля DNS-серверы raidforums.com и изменились на jocelyn.ns.cloudflare.com и plato.ns.cloudflare.com, которые ранее использовались захваченными властями сайтами, включая weleakinfo.com и doublevpn.com. При этом на форуме появилась информации об утечке базы данных клиентов СДЭК.
В последнее время RaidForums использовали криптовымогатели, например, Babuk и Lapsus$.
