Нож в спину: бывший участник BreachForums продаёт данные коллег по цеху

Киберпреступный форум Breached (он же BreachForums), широко известный своими тёмными и незаконными делами, сам недавно стал объектом взлома. База данных форума выставлена на продажу, а данные о его участниках переданы сервису Have I Been Pwned (HIBP).

Сервис HIBP, который оповещает пользователей о том, были ли их данные скомпрометированы в результате утечек, объявил, что посетители могут бесплатно проверить, была ли их информация раскрыта в ходе взлома форума Breached.

«В результате взлома BreachForums было раскрыто 212 тысяч записей, включая имена пользователей, IP- и электронные адреса, личные сообщения между участниками сайта и пароли, хранящиеся в виде хешей argon2», — сообщили представители HIBP.

Breached ещё совсем недавно был крупным хакерским форумом, прославившимся тем, что хранил, раскрывал и продавал данные, похищенные из взломанных компаний, правительств и организаций по всему миру.

После того, как ФБР арестовало администратора сайта Помпомпурина в марте этого года, оставшийся администратор Бафомет сначала попытался скопировать форум на новую инфраструктуру, а затем решил закрыть форум , полагая, что правоохранительные органы также имеют доступ к серверам сайта. Однако позже Бафомет запустил полный клон форума Breached (BFv2) с другим продавцом украденных данных в лице группировки Shiny Hunters.

База данных Breached сейчас распространяется злоумышленником под именем «breached_db_person», который и поделился базой данных с HIBP, чтобы доказать её подлинность потенциальным покупателям.

Бафомет, один из администраторов оригинального Breached, также подтвердил подлинность базы данных и предупредил, что её продажа является частью «продолжающейся кампании по уничтожению сообщества». «Я уверен, что мы скоро увидим базу в открытом доступе. Судя по 212 тысячам пользователей, это скорее всего старая база данных за несколько месяцев до закрытия BFv1, учитывая, что мой последний бэкап форума имеет 336 тысяч пользователей», — заявил Бафомет.

Кроме правоохранительных органов, продавец сказал, что только он, Бафомет и Помпомпурин имели доступ к этой базе данных. Злоумышленник также сообщил, что он продаст базу данных Breached только одному человеку за 100-150 тысяч долларов, и что база содержит снимок всех данных форума, сделанный 29 ноября 2022 года. Как вскоре сообщил хакер, он уже получил предложение на покупку базы за 250 000 долларов.

Как сообщается, база данных имеет размер 2 ГБ и содержит все таблицы, включая те, которые относятся к списку участников, их личным сообщениям и платёжным транзакциям.

Breached и его участники были ответственны за широкий спектр взломов, попыток вымогательства, атак с использованием вредоносного ПО и утечек украденных данных. Хотя ФБР уже объявило, что оно получило доступ к базе данных Breached после того, как оно изъяло серверы форума, эти данные все ещё могут быть ценными для специалистов по кибербезопасности и даже для других киберпреступников.

Личные сообщения между участниками могут быть бесценны для исследователей, ведь они могут раскрывать информацию о прошлых атаках, личностях и другой полезной информации. А данные о платёжных транзакциях в криптовалюте также могут быть полезны для компаний по аналитике блокчейна, которые могут использовать адреса криптовалют для связывания угроз с преступной деятельностью.

Хотя пока ещё рано говорить о том, будет ли база данных в конечном итоге продана, даже если это произойдёт, не будет удивительно, если вскоре после этого её опубликуют в бесплатный открытый доступ. Это обычная практика для утечек данных, когда они сначала покупаются в частном порядке, а затем общедоступно публикуются позже, чтобы повысить репутацию среди сообщества похитителей данных.

Изъятый правоохранителями в прошлом году форум по утечкам данных RaidForums также подвергался подобному взлому, и даже новый клон форума Breached (BFv2) уже стал жертвой утечки своей базы данных.

Из этого следует, что даже если те или иные форумы находятся в даркнете, а их администраторы полностью анонимны, вероятность того, что доступ к данным участников таких форумов получат правоохранители или третьи лица — никогда не равна нулю. Всегда есть шанс компрометации, а значит вся грязная правда рано или поздно вскроется.