Das FBI beschlagnahmte eine BreachForums-Domain, die die ShinyHunters-Gruppe zur Erpressung der Opfer der Salesforce-Angriffe genutzt hatte.
Die Domain Breachforums.hn verwendet man zuvor, um das Hacking-Forum in diesem Sommer neu zu starten. Das Vorhaben kam Mitte August zu einem vorzeitigen Ende, nachdem man einige ihrer mutmaßlichen Betreiber verhaften konnte. Dazu gehörten die Akteure mit den Pseudonymen „ShinyHunters“, „Hollow“, „Noct“ und „Depressed“. Außerdem haben die US-Behörden Kai West aka „IntelBroker“ angeklagt, der ebenfalls am Betrieb des Forums beteiligt gewesen sein soll. Mitte August nahm man BreachForums vom Netz. ShinyHunters veröffentlichte eine PGP-signierte Nachricht, in der es hieß, dass die Infrastruktur des Forums von der französischen BL2C-Einheit und dem FBI beschlagnahmt worden sei. Zudem gab man bekannt, dass es bezüglich des Forums keine weiteren Neustarts geben wird.
Breachforums.hn: Aus dem Forum wurde eine Erpresser-Seite
Ab Oktober nutzte die Domain Breachforums.hn Scattered Lapsus$ Hunters, eine Gruppierung bestehend aus Mitgliedern der Erpressergruppen Shiny Hunters, Scattered Spider und Lapsus$. Sie hatten zuvor breachforums.hn in eine Salesforce-Datenleck-Website umgewandelt, um diverse Unternehmen zu erpressen, die vom Hack des CRM-Anbieters Salesforce betroffen waren. Auf der Liste der erpressten Ziele befanden sich Firmen wie Adidas, Adsense (Google-Tochter) ASICS, Cartier, Chanel, Cisco, Disney & Hulu, FedEx, mehrere Fluglinien, Fujifilm, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS. Nach Angaben der Hacker gelang es ihnen, mehr als eine Milliarde Datensätze mit Kundeninformationen zu kopieren.
Webseite im WWW haben die Behörden geschlossen
Am Dienstag nahmen die Behörden breachforums.hn als auch die Seite im Tor-Netzwerk offline. Letztere war aber schnell wieder erreichbar. Und das obwohl das FBI ihre Arbeiten vor etwa 24 Stunden abgeschlossen hat. Seitdem ist zumindest im Clearnet nur noch das Banner der Beschlagnahmung durch mehrere Behörden sichtbar.
Mit der Aktion wollen die Behörden verhindern, dass die Hacker auf breachforums.hn mit der Veröffentlichung der gehackten Daten beginnen kann. Zahlreiche Unternehmen widersetzten sich dem Erpressungsversuch, woraufhin man ihnen angekündigt hatte, dass man ihre internen Daten nun veröffentlichen würde. Die Akteure gaben an, damit jetzt auf ihrer Seite im Tor-Netzwerk zu beginnen.
Kein Reboot geplant
Allerdings haben die Strafermittlungsbehörden auch Zugriff auf frühere Datenbanken von BreachForums erhalten. Eine Neuauflage von BreachForums soll es nach Angaben der Täter, die sich gegenüber Newsportal BleepingComputer geäußert haben, schon aus Sicherheitsgründen nicht geben. Die Zeit der Foren sei vorüber. Die alten Backups und neuen Datenbanken seit dem letzten Neustart seien alle behördlich kompromittiert worden. Vom Kernteam der Hacker habe man aber bisher niemanden verhaftet, hieß es weiter.
Breached: Ein ewiges Katz-und-Maus-Spiel
Das englischsprachige Forum, was man teilweise auch als Breached bezeichnete, ging erstmals im Jahr 2022 online. Es war eines der aktivsten und bekanntesten Betrugs-Foren im Clearnet. Um mögliche Kaufinteressenten von der Qualität der eigenen Daten zu überzeugen, verschenkten einzelne Hacker auch kopierte Datensätze. In den letzten Jahren war das Forum trotz der Verurteilung früherer Betreiber immer mal wieder aktiv und dann aus Sicherheitsgründen wieder weg vom Fenster. Man kann aber davon ausgehen, dass aufgrund des bekannten Namens schon bald Klone unter dem Namen Breached oder BreachForums online gehen werden. Das Katz-und-Maus-Spiel mit den Behörden geht dann halt in die nächste Runde.
