サイバーニュース.jp

世界のサイバーなニュースを配信

FBI、Salesforce恐喝に利用されたBreachForumsポータルを閉鎖

カテゴリ:

, , , , , , , , ,

FBIによるBreachForums閉鎖の背景

FBIは、ShinyHuntersグループがSalesforceへの広範な攻撃におけるデータ漏洩恐喝サイトとして利用していたBreachForumsのドメインを押収しました。このドメイン「Breachforums.hn」は、以前にハッキングフォーラムを再開するために使用されていましたが、運営者の逮捕後に閉鎖されていました。10月には、このドメインはShinyHunters、Scattered Spider、Lapsus$の各恐喝グループのメンバーと称する「Scattered Lapsus$ Hunters」によって、Salesforceデータ窃盗攻撃の被害企業を恐喝するためのデータ漏洩サイトに転用されていました。

火曜日には、クリアネットのbreachforums.hnサイトとTor版の両方がオフラインになりました。Torサイトはすぐに復旧しましたが、breachforumsドメインはアクセス不能なままで、そのドメインは以前に米国政府によって押収されたドメインに使用されていたCloudflareネームサーバーに切り替わっていました。昨夜、FBIはこの措置を完了し、サイトに押収バナーを追加し、ドメインのネームサーバーをns1.fbi.seized.govns2.fbi.seized.govに変更しました。

押収メッセージによると、米国とフランスの法執行機関が協力し、Scattered Lapsus$ HuntersがSalesforce侵害からのデータ漏洩を開始する前に、BreachForumsのウェブインフラを掌握しました。

Torサイトと脅威アクターの反応

しかし、Torのダークウェブサイトは依然としてアクセス可能であり、脅威アクターは、身代金を支払わない企業に対して、米国東部時間今夜午後11時59分にSalesforceデータの漏洩を開始すると主張しています。

FBIによるデータベースバックアップの押収

データ漏洩サイトの閉鎖に加え、ShinyHuntersは、法執行機関がBreachForumsハッキングフォーラムの過去のバージョンのアーカイブデータベースにアクセスしたことを確認しました。BleepingComputerによってShinyHuntersのPGPキーで署名されたことが確認されたTelegramメッセージで、脅威アクターは押収は避けられないものであり、「フォーラムの時代は終わった」と付け加えました。

法執行機関の行動後の分析から、ShinyHuntersは、2023年以降のすべてのBreachForumsデータベースバックアップと、最新の再起動以降のすべてのエスクローデータベースが侵害されたと結論付けました。また、バックエンドサーバーも押収されたと述べています。しかし、このグループのダークウェブ上のデータ漏洩サイトは依然としてオンラインです。ShinyHuntersチームは、コア管理チームの誰も逮捕されていないと述べましたが、今後BreachForumsを再起動することはないと明言し、そのようなサイトは今後ハニーポットと見なされるべきだと指摘しました。脅威アクターのメッセージによると、RaidForumの閉鎖後、同じコアチームがpompompurinなどの管理者を前面に立てて、複数のフォーラム再起動を計画していました。

Salesforceキャンペーンへの影響と被害企業

サイバー犯罪者たちは、今回の押収が彼らのSalesforceキャンペーンに影響を与えるものではなく、データ漏洩は本日午後11時59分(米国東部時間)に予定通り実施されることを強調しました。このグループのダークウェブ上のデータ漏洩サイトには、Salesforceキャンペーンの影響を受けた企業の長いリストが掲載されており、その中には以下の企業が含まれています。

  • FedEx
  • Disney/Hulu
  • Home Depot
  • Marriott
  • Google
  • Cisco
  • Toyota
  • Gap
  • McDonald’s
  • Walgreens
  • Instacart
  • Cartier
  • Adidas
  • Sake Fifth Avenue
  • Air France & KLM
  • Transunion
  • HBO MAX
  • UPS
  • Chanel
  • IKEA

ハッカーによると、彼らは10億件以上の顧客情報を含む記録を盗んだと主張しています。

過去の経緯

BreachForumsの最も最近の再起動は、2025年7月にShinyHuntersによって発表されました。これは、フランスの法執行機関が、ShinyHunters、Hollow、Noct、Depressedというユーザー名を持つ個人を含む、以前の再起動の管理者4人を逮捕した数日後のことでした。同時に、米国当局は、BreachForumsサイバー犯罪エコシステムの著名なメンバーであるKai West(別名「IntelBroker」)に対する起訴を発表しました。8月中旬にはBreachForumsがオフラインになり、ShinyHuntersは、フォーラムのインフラがフランスのBL2C部隊とFBIによって押収されたことを示すPGP署名付きメッセージを公開し、これ以上の再起動はないと警告していました。

元記事: https://www.bleepingcomputer.com/news/security/fbi-takes-down-breachforums-portal-used-for-salesforce-extortion/

投稿をさらに読み込む