FBIによるBreachForums閉鎖とSalesforce恐喝の阻止
FBIは昨夜、ShinyHuntersグループが運営するハッキングフォーラム「BreachForums」の全ドメインを押収しました。このフォーラムは、主にランサムウェアや恐喝グループによる企業データの窃盗および漏洩のポータルとして利用されていました。米国とフランスの法執行機関が協力し、Scattered Lapsus$ HuntersハッカーがSalesforce侵害データを漏洩するという脅威を実行に移す前に、BreachForumsのウェブインフラを掌握しました。
法執行機関による作戦の詳細
サイバー犯罪者たちは、ShinyHuntersのPGPキーで署名されたTelegramメッセージを通じて、BreachForumsの閉鎖を確認しました。彼らはこの押収が避けられないものであり、「フォーラムの時代は終わった」と述べました。BleepingComputerは、BreachForumsが現在法執行機関によって管理されていることを確認しており、最新のドメイン更新は10月9日に行われ、ネームサーバーはFBIが押収に使用するものに変更されています。
法執行機関の行動後の分析から、ShinyHuntersは、2023年以降のBreachForumsのデータベースバックアップすべて、および最新のリブート以降のエスクローデータベースが侵害されたと結論付けました。また、バックエンドサーバーも押収されたと述べています。しかし、同グループのダークウェブ上のデータ漏洩サイトは依然としてオンラインです。
ShinyHuntersの反応と今後の展望
ShinyHuntersチームは、コア管理チームの誰も逮捕されていないと述べましたが、新たなBreachForumsを立ち上げることはないと表明し、このようなサイトは今後「ハニーポット」と見なされるべきだと警告しました。脅威アクターのメッセージによると、RaidForumの閉鎖後、同じコアチームがpompompurinなどの管理者を前面に出して複数のフォーラムリブートを計画していたとのことです。
Salesforceデータ漏洩キャンペーンの現状
サイバー犯罪者たちは、今回の押収が彼らのSalesforceキャンペーンには影響せず、データ漏洩は本日午後11時59分(EST)に予定通り実行されると強調しました。同グループのデータ漏洩サイトには、Salesforceキャンペーンによって影響を受けた企業の長いリストが掲載されており、その中には以下の企業が含まれています。
- FedEx
- Disney/Hulu
- Home Depot
- Marriott
- Cisco
- Toyota
- Gap
- McDonald’s
- Walgreens
- Instacart
- Cartier
- Adidas
- Sake Fifth Avenue
- Air France & KLM
- Transunion
- HBO MAX
- UPS
- Chanel
- IKEA
ハッカーによると、彼らは顧客に関する10億件以上の記録を盗んだと主張しています。昨日押収されたBreachForumsのバージョンは、以前の同名のプラットフォームとは異なり、サイバー犯罪フォーラムではなく、Salesforce侵害のような大規模キャンペーンのデータ恐喝サイトとして機能していました。
BreachForumsの歴史と関連逮捕
BreachForumsの最新のリブートは、2025年7月にShinyHuntersによって発表されました。これは、フランスの法執行機関がShinyHunters、Hollow、Noct、Depressedを含む以前のリブートの管理者4人を逮捕した数日後のことでした。同時に、米国当局は、BreachForumsサイバー犯罪エコシステムの著名なメンバーであるKai West(別名「IntelBroker」)に対する起訴を発表しました。8月中旬にはBreachForumsがオフラインになり、ShinyHuntersはフランスのBL2C部隊とFBIによってフォーラムのインフラが押収されたことをPGP署名メッセージで通知し、これ以上のリブートはないと警告していました。