サイバーニュース.jp

世界のサイバーなニュースを配信

FBI、Salesforce恐喝に利用されたBreachForumsポータルを閉鎖

カテゴリ:

, , , , , , , , ,

FBIによるBreachForumsの閉鎖

FBIは、ShinyHuntersグループがSalesforceへの広範な攻撃におけるデータ漏洩恐喝サイトとして利用していたBreachForums.hnドメインを押収しました。脅威アクターは、法執行機関がこの悪名高いハッキングフォーラムのデータベースバックアップも盗んだと主張しています。

Scattered Lapsus$ HuntersとSalesforce恐喝

Breachforums.hnは以前、この夏にハッキングフォーラムを再開するために使用されていましたが、一部の運営者が逮捕された後、すぐにオフラインになりました。10月には、このドメインはScattered Lapsus$ HuntersによってSalesforceデータ漏洩サイトに転用されました。このグループは、Shiny Hunters、Scattered Spider、Lapsus$の恐喝グループに関連するメンバーで構成されていると主張し、Salesforceのデータ盗難攻撃によって影響を受けた企業を恐喝していました。

Torサイトの存続とデータ漏洩の脅威

火曜日には、クリアネットのbreachforums.hnデータ漏洩サイトとそのTor版の両方がオフラインになりました。Torサイトはすぐに復元されましたが、breachforumsドメインはアクセス不能なままで、そのドメインは以前米国政府によって押収されたドメインに使用されていたCloudflareネームサーバーに切り替わっていました。昨夜、FBIはこの措置を完了し、サイトに押収バナーを追加し、ドメインのネームサーバーをns1.fbi.seized.govns2.fbi.seized.govに切り替えました。押収メッセージによると、米国とフランスの法執行機関が協力してBreachForumsのウェブインフラを掌握し、Scattered Lapsus$ HuntersハッカーがSalesforceの侵害からデータを漏洩し始める前に阻止しました。しかし、Torダークウェブサイトはまだアクセス可能であり、脅威アクターは、身代金を支払わない企業に対して、今夜東部標準時午後11時59分にSalesforceデータの漏洩を開始すると主張しています。

FBIによるデータベースバックアップの押収

データ漏洩サイトの閉鎖に加え、ShinyHuntersは、法執行機関がBreachForumsハッキングフォーラムの以前のバージョンのアーカイブされたデータベースにアクセスしたことを確認しました。BleepingComputerによってShinyHuntersのPGPキーで署名されていることが確認されたTelegramメッセージで、脅威アクターは押収は避けられないことであり、「フォーラムの時代は終わった」と付け加えました。法執行機関の行動後に実施された分析から、ShinyHuntersは、2023年以降のすべてのBreachForumsデータベースバックアップと、最新の再起動以降のすべてのエスクローデータベースが侵害されたと結論付けました。このグループは、バックエンドサーバーも押収されたと述べました。しかし、このグループのダークウェブ上のデータ漏洩サイトはまだオンラインです。

ShinyHuntersの声明とフォーラムの未来

ShinyHuntersチームは、コア管理チームの誰も逮捕されていないと述べましたが、別のBreachForumsを立ち上げることはなく、そのようなサイトは今後ハニーポットと見なされるべきだと指摘しました。脅威アクターのメッセージによると、RaidForumの閉鎖後、同じコアチームがpompompurinのようなフロントを使用して複数のフォーラムの再起動を計画していました。サイバー犯罪者たちは、今回の押収がSalesforceキャンペーンに影響を与えることはなく、データ漏洩は本日東部標準時午後11時59分に予定通り行われることを強調しました。

影響を受けた企業リスト

このSalesforceキャンペーンによって影響を受けた企業の長いリストが、このグループのデータ漏洩サイトのダークウェブ版に表示されています。これには以下の企業が含まれます。

  • FedEx
  • Disney/Hulu
  • Home Depot
  • Marriott
  • Google
  • Cisco
  • Toyota
  • Gap
  • McDonald’s
  • Walgreens
  • Instacart
  • Cartier
  • Adidas
  • Sake Fifth Avenue
  • Air France & KLM
  • Transunion
  • HBO MAX
  • UPS
  • Chanel
  • IKEA

ハッカーによると、彼らは顧客情報を含む10億件以上の記録を盗んだとのことです。

過去のBreachForums再起動と逮捕

BreachForumsのクラシックな形式での最新の再起動は、2025年7月にShinyHuntersによって発表されました。これは、フランスの法執行機関がShinyHunters、Hollow、Noct、Depressedというユーザー名の個人を含む以前の再起動の4人の管理者を逮捕した数日後のことでした。同時に、米国当局は、BreachForumsサイバー犯罪エコシステムの著名なメンバーであるKai West、別名「IntelBroker」に対する起訴を発表しました。8月中旬、BreachForumsはオフラインになり、ShinyHuntersは、フォーラムのインフラがフランスのBL2C部隊とFBIによって押収されたことを示すPGP署名付きメッセージを公開し、これ以上の再起動はないと警告しました。

元記事: https://www.bleepingcomputer.com/news/security/fbi-takes-down-breachforums-portal-used-for-salesforce-extortion/

投稿をさらに読み込む