Raid forums что это
Рекомендуем почитать:
В ходе международной операции TOURNIQUET, которую координировал Европол, был закрыт известный хакерский ресурс RaidForums, в основном использовавшийся для торговли украденными базами данных. Администратор RaidForums и двое его сообщников арестованы, а инфраструктура сайта теперь находится под контролем правоохранительных органов.
Как сообщается, операцию более года готовили власти США, Великобритании, Швеции, Германии, Португалии и Румынии.
Министерство юстиции США пишет, что администратор сайта, известный под ником Omnipotent, был арестован еще 31 января 2022 в Великобритании, и ему уже предъявлены обвинения. Он находился под стражей с момента ареста до завершения процедуры экстрадиции.
Так как за псевдонимом Omnipotent скрывался 21-летний гражданин Португалии Диогу Сантос Коэльо (Diogo Santos Coelho), выходит, что он запустил RaidForums, когда ему было 14 лет, так как сайт работал с 2015 года.
По статистике Министерства юстиции США, в общей сложности на торговой площадке было выставлено на продажу более 10 млрд уникальных записей из сотни ворованных баз данных, в том числе затрагивающие людей, проживающих в США. В свою очередь Европол сообщает, что на RaidForums насчитывалось более 500 000 пользователей, и он был «одним из крупнейших хакерских форумов в мире». Здесь стоит добавить, что речь идет об англоязычных ресурсах.
«Эта торговая площадка сделала себе имя, продавая доступы к громким утечками БД, принадлежавших различным американским корпорациям из разных отраслей. В них содержалась информация о миллионах кредитных карт, номерах банковских счетов и маршрутной информации, а также именах пользователей и связанных с ними паролях, необходимых для доступа к онлайн-аккаунтам», — сообщает Европол.
Пока неизвестно, сколько времени в целом заняло расследование, но, похоже, правоохранительным органам удалось составить довольно четкую картину иерархии RaidForums. В пресс-релизе Европола отмечается, что люди, которые поддерживали работу RaidForums, занимались администрированием, отмыванием денег, похищали и загружали на сайт данные, а также скупали краденую информацию.
При этом упомянутый выше Диогу Сантос Коэльо якобы контролировал RaidForums с 1 января 2015 года, то есть с самого старта, и управлял сайтом при поддержке нескольких администраторов, организовав структуру для продвижения покупки и продажи ворованных данных. Чтобы получать прибыль, форум взимал с пользователей плату за различные уровни членства и продавал кредиты, которые позволяли участникам получать доступ к более привилегированным областям сайта или к ворованным данным, размещенным на форуме.
Коэльо также выступал в качестве посредника и гаранта между сторонами, совершающими сделки, обязуясь следить, что покупатели и продавцы будут соблюдать соглашения.
Издание Bleeping Computer пишет, еще в феврале 2022 года преступники и ИБ-исследователи заподозрили, что RaidForums захвачен правоохранительными органами, так как сайт начал отображать форму входа на каждой странице. При попытке войти на сайт, тот просто снова показывал страницу входа, и многие заподозрили, что сайт захвачен и это фишинговая атака правоохранительных органов, которые пытаются получить учетные данные злоумышленников.
RaidForums, появившийся еще в 2015 году, в последнее время приобрел широкую известность из-за операторов вымогательской малвари, которые сливали на сайт украденные у жертв данные, чтобы заставить их заплатить выкуп. К примеру, такую тактику раньше использовали операторы Babuk и Lapsus$.
Однако раньше, когда ресурс не был так популярен, его сообщество специализировалось на сваттинге (от английского swatting: к жертвам домой вызывали наряд спецназа, сообщая о ложных угрозах взрыва, захвате заложников и так далее), а также рейдинге (от английского raiding), который Минюст США описывает как «публикацию или отправку огромного количества контактов в онлайн-среду, которую жертва использует для общения».
В последние годы торговая площадка стала излюбленным местом хакеров, где они продавали украденные базы данных или просто бесплатно делились ими с другими участниками форума.
Правоохранительные органы ряда европейских стран в сотрудничестве с США провели операцию Tourniquet, в рамках которой было прервано функционирование популярного хакерского форума RaidForums, в основном используемого для торговли краденными базами данных. Также известно, что полицейским удалось взять под контроль инфраструктуру ресурса и арестовать его владельцев.
Источник изображения: Bleeping Computer
Согласно имеющимся данным, главным администратором и основателем хакерского форума является португалец Диогу Сантос Коэльо (Diogo Santos Coelho), известный под ником Omnipotent. Он был арестован в Великобритании 31 января этого года. Минюст США объявил, что Коэльо 21 год. Это означает, что на момент запуска ресурса RaidForums в 2015 году ему было всего 14 лет. В настоящее время он находится под стражей и ожидает экстрадиции в США.
«Эта торговая площадка сделала себе имя, продавая доступ к громким утечкам баз данных, принадлежащих американским корпорациям из разных отраслей. В них содержалась информация о миллионах кредитных карт, номерах банковских счетов и маршрутной информации, а также именах пользователей и связанных с ними паролях, необходимых для доступа к онлайн-аккаунтам», — говорится в заявлении Европола.
По данным источника, исследователи в сфере информационной безопасности ещё в феврале этого года заподозрили, что контроль над RaidForums перешёл в руки правоохранительных органов. Это связано с тем, что ресурс начал выводить форму авторизации на каждой странице. Предполагалось, что это было частью фишинговой атаки полицейских, которые таким образом пытались собрать учётные данные пользователей нелегального ресурса. В конце февраля DNS-серверы основного домена площадки изменились на те, что ранее уже использовались при захвате хакерских сайтов правоохранителями. После этого стало окончательно ясно, что контроль над RaidForums перешёл в руки полиции.
Европол заявил о закрытии крупного хакерского форума RaidForums, на котором продавали личные данные жителей разных стран, в том числе и россиян. Как стало известно из заявления самого ведомства, в спецоперации принимали участие силовики из шести государств: США, Великобритании, Германии, Швеции, Португалии и Румынии.
«Закрытие таких площадок всегда было ключевым методом борьбы с онлайн-преступниками. Наша нацеленность на форумы, на которых размещены огромные объемы украденных данных, держит преступников в напряжении. Европол вместе со своими международными партнерами продолжит предпринимать максимум усилий для того, чтобы киберпреступления были еще более сложной и рискованной задачей», — сказал глава центра Европола по европейской киберпреступности Эдвардас Шилерис.
Как сообщили ТАСС представители российской компании Group-IB, в последнее время на форуме начали публиковать базы данных, связанные с гражданами России и Белоруссии. Речь идет примерно о сотне баз, в которых содержатся сведения, похищенные из крупной сети фитнеса, почтового сервиса, онлайн-магазина, транспортной компании, сотового оператора, банка, сайта знакомств. При этом значительная часть этих сведений уже утратила актуальность.
Крупнейший в мире магазин наркотиков закрыт. Что стоит за отключением «Гидры» и как теперь без нее живет даркнет?
«Anonymous, иди учи уроки» Как самых могущественных хакеров мира, объявивших войну России, перестали воспринимать всерьез
Сам RaidForums существовал с 2015 года и объединял аудиторию, превышающую 500 тысяч человек. На площадке можно было приобрести широкие наборы данных — от логинов и паролей пользователей различных сайтов до детальных наборов информации о гражданах различных стран.
«Когда окончательно стало понятно, что RaidForums больше не вернется, один из самых активных и известных участников форума — Pompompurin — создал почти полную копию RaidForums и запустил ее для всех желающих. Сейчас рынок постепенно восстанавливается, и уже большая часть всех известных нам продавцов пришли на новый форум и продолжают свою деятельность», — заключил руководитель отдела исследования киберпреступности Threat Intelligence компании Group-IB Олег Деров.
Ранее стало известно о том, что хакеры из группировок BlackMatter и REvil, которые на Западе традиционно ассоциируются с Россией, объединились в новую группировку BlackCat. В новое мощное объединение входят как сами хакеры, так и бывшие партнеры BlackMatter и REvil, которые остались без работы после арестов ряда кибервзломщиков в России и других странах мира, а также выхода части преступников из игры.
Известная площадка для киберпреступников — RaidForums недавно случайно открыла на всеобщее обозрение внутренние страницы веб-сайта, которые предназначались только для представителей администрации форума.
RaidForums представляет собой чёрный онлайн-рынок, с помощью которого киберпреступники различных мастей реализуют украденные данные. Также на этой площадке злоумышленники делятся друг с другом информацией об утечках.
На RaidForums, например, можно приобрести эксплойты для известных уязвимостей, данные карт клиентов различных банков, а иногда всё перечисленное можно получить и бесплатно.
Как у любого другого форума, у RaidForums есть свои закрытые разделы. Одни из них — «Staff General» — недавно стал достоянием общественности. Сотрудники BleepingComputer зафиксировали индексацию скрытой секции в Google:
Также исследователи смогли просмотреть одну из закрытых тем, в которой находилась памятка по защите аккаунтов, предназначенная для администраторов и модераторов. Там руководство форума перечисляло лучшие практики по использованию менеджеров паролей, активации двухфакторной аутентификации (2FA) и установке VPN.
В других темах администрация обсуждала баны и способ общения между собой:
В настоящий момент раздел «Staff General» снова закрыт от обычных пользователей и посетителей.
Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Наблюдатели из Sucuri выявили новую кампанию по взлому WordPress-сайтов с целью внедрения кода JavaScript, перенаправляющего визитеров на мошеннические страницы. В апреле угонщикам трафика удалось провести вредоносные инъекции на 6656 площадках, в текущем месяце (с 9 мая) — на 322.
Установлено, что во всех случаях хакеры используют уязвимости в плагинах и темах WordPress — в прошлом году число таких возможностей возросло на 150%. К сожалению, создатели подобных проектов часто пренебрегают латанием дыр, способных подставить под удар миллионы сайтов.
В рамках текущей киберкампании взломщики добавляют JavaScript-инжекты в базу данных сайта и различные файлы, в том числе легитимные файлы ядра WordPress — jquery.min.js, jquery-migrate.min.js. Чтобы затруднить обнаружение стороннего кода, применяется обфускация (с помощью CharCode).
Вредоносный код активируется при каждой загрузке страницы, позволяя авторам атаки перенаправлять посетителей на площадки по своему выбору. При этом в результате инъекции создается новый скриптовый элемент с доменом legendarytable[.]com в качестве источника. Этот код обращается к другому стороннему домену, drakefollow[.]com, где в линках указана целевая страница — с подпиской на рекламные пуш-уведомления, фишинг-формой, вредоносной программой или очередным редиректором.
В ходе перенаправления посетителю взломанного сайта отображается промежуточный лендинг, имитирующий защиту от ботов. Перенаправление завершает нажатие кнопки Allow.
Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
На продажу выставлен биткойн-кошелек с $690 млн
Уже год хакеры не могут взломать биткойн-кошелек, в котором предположительно хранится 69 370 биткойнов.
RaidForums пришлось использовать зеркало после действий властей Бразилии
Регистратор NameSilo получил уведомление от властей и приступил к деактивации учетной записи владельца форума.
3,27 млрд украденных учетных данных выставлены на продажу всего за $2
Совокупная база данных объединяла старые записи из прошлых кибератак, включая учетные данные пользователей Netflix, LinkedIn, Exploit и пр.
RaidForums случайно раскрыл внутренюю информацию для персонала
Хакерский форум OGusers стал жертвой взлома
В руках злоумышленников оказалась информация о более 113 тыс. пользователей форума, включая адреса электронной почты и хэши паролей.
T-Mobile тайно купила у хакеров украденные данные своих клиентов
Таким образом компания пыталась предотвратить распространение утечки
Закрыт крупнейший в мире хакерский форум по торговле краденными базами данных
Читайте также: