Caída y Muerte del Célebre Foro de Hackers RaidForums

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

WASHINGTON/LA HAYA, 12 abr (Reuters) - Las autoridades estadounidenses y europeas dijeron el martes que habían incautado RaidForums, un popular sitio web utilizado por piratas informáticos para comprar y vender datos robados, y Estados Unidos también reveló cargos contra el fundador y administrador principal del sitio web. Diego Santos Coelho.

Coelho, de 21 años, de Portugal, fue arrestado en el Reino Unido el 31 de enero y permanece bajo custodia mientras Estados Unidos busca su extradición para ser juzgado en el Tribunal de Distrito de EE. UU. para el Distrito Este de Virginia, dijo el Departamento de Justicia de EE. UU.

El departamento dijo que había obtenido la aprobación de la corte para incautar tres nombres de dominio diferentes que albergaban el sitio web RaidForums: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Entre los tipos de datos que estaban disponibles para la venta en el sitio se incluían números de cuenta y ruta bancaria robados, información de tarjetas de crédito, credenciales de inicio de sesión y números de seguro social.

En una declaración paralela, Europol también elogió el derribo diciendo que el mercado en línea RaidForums había sido incautado en una operación conocida como "Operación Torniquete", que ayudó a coordinar las investigaciones de las autoridades de los Estados Unidos, el Reino Unido, Alemania, Suecia, Portugal y Rumania.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"La disrupción siempre ha sido una técnica clave para operar contra los actores de amenazas en línea, por lo que apuntar a los foros que albergan grandes cantidades de datos robados mantiene a los delincuentes alerta", dijo en el comunicado el director del Centro Europeo de Delitos Cibernéticos de Europol, Edvardas Šileris.

Además de Coelho, dijo que dos de sus presuntos cómplices también estaban bajo custodia. No proporcionó más detalles sobre las otras dos personas arrestadas.

Coelho enfrenta una acusación de seis cargos, acusándolo de conspiración, fraude de dispositivo de acceso y robo de identidad agravado.

Alega que entre el 1 de enero de 2015 y su arresto en enero de 2022, controló y se desempeñó como administrador principal del sitio.

"Para beneficiarse de la actividad ilícita en la plataforma, RaidForums cobró precios cada vez mayores por los niveles de membresía que ofrecían un mayor acceso y funciones, incluido un estado de membresía 'Dios' de primer nivel", dijo el Departamento de Justicia en un comunicado.

Hudson Rock, una firma de monitoreo de delitos cibernéticos, ha descrito a RaidForums como "el foro mundial de delitos cibernéticos más importante que ha existido en los últimos años".

Según el Departamento de Justicia, el mercado ofreció a la venta más de 10 mil millones de registros únicos de cientos de bases de datos robadas que afectaron a las personas que residen en los EE. UU.
Europol confirmó que RaidForums tenía más de 500,000 usuarios.

Desmantelar el foro y su infraestructura es el resultado de un año de planificación entre las autoridades encargadas de hacer cumplir la ley en los Estados Unidos, el Reino Unido, Suecia, Portugal y Rumania.

No está claro cuánto tiempo tomó la investigación, pero la colaboración entre las agencias de aplicación de la ley permitió a las autoridades pintar una imagen clara de los roles que tenían las diferentes personas dentro de RaidForums.

La agencia europea de aplicación de la ley compartió pocos detalles en su comunicado de prensa, pero señala que las personas que mantuvieron en funcionamiento RaidForums trabajaron como administradores, lavadores de dinero, robaron y cargaron datos y compraron la información robada.

Las sospechas de una caída y fin comienzan en febrero

Los actores de amenazas y los investigadores de seguridad sospecharon por primera vez que RaidForums fue incautado por la policía en febrero cuando el sitio comenzó a mostrar un formulario de inicio de sesión en cada página.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, al intentar iniciar sesión en el sitio, simplemente volvió a mostrar la página de inicio de sesión.

Esto llevó a los investigadores y miembros de los foros a creer que el sitio fue incautado y que el indicador de inicio de sesión fue un intento de phishing por parte de las fuerzas del orden público para recopilar las credenciales de los actores de amenazas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El 27 de febrero de 2022, los servidores DNS de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta se cambiaron repentinamente a los siguientes servidores:

jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com

Como estos servidores DNS se usaron anteriormente con otros sitios incautados por las fuerzas del orden, incluidos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, los investigadores creyeron que esto añadía más evidencia de que el dominio había sido incautado.

Antes de convertirse en el lugar favorito de los piratas informáticos para vender datos robados, RaidForums tuvo un comienzo más humilde y se utilizó para organizar varios tipos de acoso electrónico, que incluían aplastar objetivos (hacer informes falsos que conducían a la intervención armada de la ley) y "ataques", que el DoJ describe como "publicar o enviar un volumen abrumador de contactos al medio de comunicación en línea de una víctima".

El sitio se hizo muy conocido en los últimos dos años y las pandillas de ransomware y los extorsionadores de datos lo usaban con frecuencia para filtrar datos como una forma de presionar a las víctimas para que pagaran un rescate, y fue utilizado tanto por la pandilla de ransomware Babuk como por Lapsus$. grupo de extorsión en el pasado.

El mercado ha estado activo desde 2015 y durante mucho tiempo fue la ruta más corta para que los piratas informáticos vendieran bases de datos robadas o las compartieran con miembros del foro.

Los datos confidenciales comercializados en el foro incluían información personal y financiera, como números de cuenta y ruta bancaria, tarjetas de crédito, información de inicio de sesión y números de seguridad social.

Si bien muchos foros de delitos cibernéticos atendieron a los actores de amenazas de habla rusa, RaidForums se destacó como el foro de piratería de habla inglesa más popular.

Después de que Rusia invadió Ucrania, y muchos actores de amenazas comenzaron a tomar partido, RaidForums anunció que prohibirían a cualquier miembro que se supiera que estaba asociado con Rusia.

Fuentes:

Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta