BleepingComputer rapporte que le FBI a saisi les domaines du forum de hacking BreachForums opéré par le groupe ShinyHunters, utilisé comme portail d’extorsion par fuite de données liées aux attaques touchant Salesforce. L’action, menée en coopération avec les autorités françaises, a abouti à l’affichage d’une bannière de saisie et au basculement des DNS du domaine vers ns1.fbi.seized.gov et ns2.fbi.seized.gov. 🚨
Le domaine breachforums.hn, relancé l’été dernier puis reconverti en site de fuite pour la campagne Salesforce par « Scattered Lapsus$ Hunters » (prétendant regrouper des membres de ShinyHunters, Scattered Spider et Lapsus$), a été rendu inaccessible sur le clearnet, tandis que le miroir Tor a été brièvement interrompu puis rétabli. La saisie a été finalisée avec un bandeau officiel, confirmant la prise de contrôle de l’infrastructure web avant le début des fuites liées à Salesforce.
Dans un message Telegram signé par la clé PGP de ShinyHunters, les acteurs indiquent que la saisie était inévitable et déclarent « la fin de l’ère des forums ». Selon leur analyse post-saisie, toutes les sauvegardes de bases de données depuis 2023 ainsi que les bases d’escrow depuis le dernier redémarrage seraient compromises, et les serveurs backend saisis. Ils affirment qu’aucun membre de l’équipe d’administration centrale n’a été arrêté, qu’ils ne relanceront pas BreachForums, et que de tels sites doivent désormais être considérés comme des honeypots. Ils ajoutent qu’après la chute de RaidForums, des relances successives ont été planifiées en utilisant des administrateurs « vitrine » (dont pompompurin).
Malgré la saisie, ShinyHunters soutient que la campagne d’extorsion liée à Salesforce n’est pas affectée : le site de fuite sur le dark web reste en ligne, et une publication des données à 23:59 EST est annoncée pour les entreprises qui ne paieraient pas. Les victimes listées incluent notamment : FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, TransUnion, HBO MAX, UPS, Chanel et IKEA. Les acteurs revendiquent le vol de plus d’un milliard d’enregistrements de clients. 💾
• IOCs:
- Domaine: breachforums.hn
- Nameservers de saisie: ns1.fbi.seized.gov, ns2.fbi.seized.gov
• TTPs:
- Extorsion via site de fuite avec ultimatum temporel
- Hébergement sur Tor pour résilience et anonymat
- Vol massif de données clients issues d’instances Salesforce
- Communication signée PGP pour attester l’authenticité
- Opérations sous administrateurs “vitrine” après des démantèlements précédents
Type d’article: opération de police et article de presse spécialisé relatant une saisie de domaines et l’état d’une campagne d’extorsion en cours.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/fbi-takes-down-breachforums-portal-used-for-salesforce-extortion/