FBI e França derrubam site hacker BreachForums

Em uma clara escalada na repressão ao cibercrime transnacional, agências de segurança dos Estados Unidos e da França anunciaram a apreensão do domínio do BreachForums, um notório site de vazamento e venda de dados roubados. A ação coordenada ocorreu horas antes do temido grupo hacker Scattered Spider e afiliados planejarem a publicação de dados supostamente roubados de clientes da Salesforce.

O domínio breakforums.hn foi substituído na noite de quinta-feira (horário dos EUA) por um banner de apreensão ostentando os emblemas do FBI e do Departamento de Justiça dos EUA, juntamente com as insígnias da Brigade Centrale de Lutte Contre la Cybercriminalité e da Juridiction Nationale de lutte contre la Criminalité Organisée da França.

A apreensão se deu no clímax de uma campanha de extorsão em curso. O Scattered Spider, que tem se autodenominado Scattered Lapsus$ Hunters (em referência a uma fusão com outros grupos hackers supostamente falantes de inglês, incluindo Shiny Hunters e Lapsus$), havia reativado o fórum como parte de um esforço para pressionar cerca de 39 clientes corporativos da Salesforce. A ameaça era clara: postar informações roubadas na plataforma na noite de sexta-feira, às 23h59, horário do leste dos EUA.

O grupo alega ter subtraído cerca de 1 bilhão de registros ao comprometer bancos de dados de grandes empresas que utilizam o Salesforce.

Em seu canal no Telegram, o grupo hacker confirmou a invasão do domínio, mas insistiu que seus membros não haviam sido presos. No entanto, os invasores expressaram a forte suspeita de que o FBI e outras agências não apenas apreenderam o domínio, mas também destruíram os servidores de back-end.

“Em termos mais simples, é bem provável que tenhamos sido hackeados pelo governo dos EUA, considerando que a página inicial deles está no onion do BreachForums. É um sinal claro de que tudo que estava sob nosso controle e que eles não conseguiriam acessar desapareceu”, declararam os hackers. Eles alertaram ainda a comunidade do cibercrime para reforçar a segurança operacional, antecipando uma provável repressão policial nos próximos meses.

Apesar da remoção do domínio principal, pesquisadores e o próprio grupo afirmaram que a versão do site baseada na rede Tor foi restaurada. O Scattered Spider minimizou o impacto da apreensão, garantindo que "não teve impacto em nossas campanhas do Salesforce" e mantendo o plano de publicar os dados roubados.

A Salesforce, por sua vez, reafirmou sua política de não negociação com hackers. A gigante da nuvem informou aos clientes que não pagará o resgate exigido pelo Scattered Spider, vinculando explicitamente as exigências de extorsão a um incidente de segurança anterior que afetou o Salesloft, um aplicativo de terceiros usado por muitos de seus clientes.

Um porta-voz da Salesforce confirmou: "Posso confirmar que a Salesforce não se envolverá, negociará ou pagará qualquer demanda de extorsão". A empresa reitera que as tentativas de extorsão estão relacionadas a "incidentes passados ​​ou infundados". O Google é a única empresa, do lote inicial de 39 citadas pelo Scattered Spider, a confirmar publicamente o roubo de dados.

O FBI já havia emitido um alerta há três semanas sobre a campanha, que teria começado em outubro de 2024, utilizando ataques de engenharia social para obter acesso a organizações, se passando por funcionários de TI em call centers.

Esta é a quarta vez que o FBI derruba uma versão do BreachForums. A plataforma original foi fechada em 2023, levando à prisão do suposto administrador, Conor Fitzpatrick, que recentemente teve sua sentença de prisão revista para três anos após uma controversa decisão judicial.

Desde então, múltiplas tentativas de reviver o site foram reprimidas pelas autoridades, incluindo prisões feitas por autoridades francesas em junho. O Departamento de Justiça dos EUA estima que o BreachForums original tinha mais de 340.000 membros e facilitou o acesso a informações pessoais sensíveis de milhões de cidadãos.

Via - RFN