Esas olarak çalıntı veritabanlarının ticaretini yapmak ve satmak için kullanılan RaidForums hacker forumu, Europol tarafından koordine edilen ve çeşitli ülkelerdeki kolluk kuvvetlerinin dahil olduğu bir eylem olan TOURNIQUET Operasyonu sırasında ABD kolluk kuvvetleri tarafından kapatıldı ve etki alanına el konuldu.
RaidForum’un yöneticisi ve iki suç ortağı tutuklandı ve yasadışı pazar yerinin altyapısı artık kolluk kuvvetlerinin kontrolü altında.
14 yaşında RaidForums’a başladı
RaidForums’un yöneticisi ve kurucusu, Portekizli Diogo Santos Coelho, namı diğer Omnipotent, 31 Ocak’ta Birleşik Krallık’ta tutuklandı ve cezai suçlamalarla karşı karşıya. Tutuklanmasından bu yana, iade işlemlerinin sonuçlanması için gözaltında tutulmaktadır.
ABD Adalet Bakanlığı bugün Coelho’nun 21 yaşında olduğunu, yani 2015’te RaidForums’u başlattığında sadece 14 yaşında olduğunu söylüyor.
RaidForums’u barındıran üç alan ele geçirildi: “raidforums.com”, “Rf.ws” ve “Raid.Lol.”
DoJ’a göre, pazar, ABD’de yaşayan insanları etkileyen yüzlerce çalıntı veri tabanından 10 milyardan fazla benzersiz kaydı satışa sundu.
Europol bugün yaptığı ayrı bir duyuruda RaidForums’un 500.000’den fazla kullanıcısı olduğunu ve “dünyanın en büyük bilgisayar korsanlığı forumlarından biri olarak kabul edildiğini” söyledi.
“Bu pazar yeri, farklı endüstrilerdeki bir dizi ABD şirketine ait yüksek profilli veritabanı sızıntılarına erişim satarak kendisine bir isim yapmıştı. Bunlar, milyonlarca kredi kartı, banka hesap numarası ve yönlendirme bilgisi ile çevrimiçi hesaplara erişmek için gereken kullanıcı adları ve ilgili şifreleri içeriyordu” – Europol
Forumun ve altyapısının kaldırılması, Amerika Birleşik Devletleri, Birleşik Krallık, İsveç, Portekiz ve Romanya’daki kolluk kuvvetleri arasındaki bir yıllık planlamanın sonucudur.
Soruşturmanın ne kadar sürdüğü belli değil, ancak kolluk kuvvetleri arasındaki işbirliği, yetkililerin RaidForums içinde farklı bireylerin sahip olduğu rollerin net bir resmini çizmesine izin verdi.
Avrupa kolluk kuvvetleri basın açıklamasında birkaç ayrıntı paylaştı, ancak RaidForums’u çalıştıran kişilerin yönetici, kara para aklayıcı olarak çalıştığını, verileri çaldığını ve yüklediğini ve çalınan bilgileri satın aldığını belirtti.
Coelho’nun 1 Ocak 2015’ten beri RaidForums’u kontrol ettiği iddia ediliyor, iddianame ortaya koyuyor ve siteyi birkaç yöneticinin yardımıyla işletiyor ve yapısını çalıntı malları alıp satmayı teşvik etmek için organize ediyor.
Kar elde etmek için forum, çeşitli üyelik katmanları için ücretler aldı ve üyelerin sitenin ayrıcalıklı alanlarına erişmesine veya foruma dökülen çalıntı verilere erişmesine izin veren krediler sattı.
Coelho ayrıca, alıcıların ve satıcıların anlaşmalarına uyacağına dair güven sağlamak için işlem yapan taraflar arasında güvenilir bir aracı görevi gördü.
Üyeler Şubat ayında şüpheli hale geldi
Tehdit aktörleri ve güvenlik araştırmacıları, ilk olarak, RaidForums’un, site her sayfada bir giriş formu göstermeye başladığı Şubat ayında kolluk kuvvetleri tarafından ele geçirildiğinden şüphelendi.
Ancak, siteye giriş yapmaya çalışırken, giriş sayfasını tekrar gösterdi.
Bu, araştırmacıları ve forum üyelerini, sitenin ele geçirildiğine ve giriş isteminin, kolluk kuvvetlerinin tehdit aktörlerinin kimlik bilgilerini toplamak için bir kimlik avı girişimi olduğuna inanmalarına neden oldu.
27 Şubat 2022’de DNS sunucuları raidforums.com aniden aşağıdaki sunuculara değiştirildi:
jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com
Bu DNS sunucuları, daha önce, aşağıdakiler de dahil olmak üzere, kolluk kuvvetleri tarafından ele geçirilen diğer sitelerle birlikte kullanıldığından, weleakinfo.com ve doublevpn.comaraştırmacılar bunun etki alanının ele geçirildiğini daha fazla desteklediğine inanıyorlardı.
Hackerların çalınan verileri satmak için en sevdiği yer haline gelmeden önce, RaidForums daha mütevazı bir başlangıç yaptı ve hedef alma (silahlı kolluk kuvvetlerinin müdahalesine yol açan sahte raporlar hazırlama) ve “baskın” gibi çeşitli elektronik taciz türlerini organize etmek için kullanıldı. DoJ, “kurbanın çevrimiçi iletişim ortamına çok büyük miktarda temas göndermek veya göndermek” olarak tanımlıyor.
Site geçtiğimiz birkaç yıl içinde iyi tanındı ve fidye yazılımı çeteleri ve veri gaspçıları tarafından kurbanları fidye ödemeye zorlamanın bir yolu olarak veri sızdırmak için sıklıkla kullanıldı ve hem Babuk fidye yazılımı çetesi hem de Lapsus$ tarafından kullanıldı. Geçmişte gasp grubu.
Pazaryeri 2015’ten beri aktiftir ve uzun süredir bilgisayar korsanlarının çalınan veritabanlarını satması veya forum üyeleriyle paylaşması için en kısa yoldu.
Forumda işlem gören hassas veriler, banka yönlendirme ve hesap numaraları, kredi kartları, giriş bilgileri ve sosyal güvenlik numaraları gibi kişisel ve finansal bilgileri içeriyordu.
Pek çok siber suç forumu Rusça konuşan tehdit aktörlerine hitap ederken, RaidForums İngilizce konuşan en popüler bilgisayar korsanlığı forumu olarak öne çıktı.
Rusya Ukrayna’yı işgal ettikten ve birçok tehdit aktörü taraf tutmaya başladıktan sonra RaidForums, Rusya ile bağlantılı olduğu bilinen herhangi bir üyeyi yasakladıklarını duyurdu.