FBI درگاه BreachForums را که برای اخاذی علیه Salesforce به کار می‌رفت از کار انداخت

FBI دیشب کلیه دامنه‌های BreachForums را ضبط کرد. این فوروم هک توسط گروه ShinyHunters اداره می‌شد و عمدتاً به‌عنوان درگاهی برای افشای داده‌های شرکتی که در حملات باج‌افزار و اخاذی به‌دست آمده بودند به کار می‌رفت.

نیروهای انتظامی آمریکا و فرانسه با همکاری یکدیگر زیرساخت‌های وب سایت BreachForums را توقیف کردند، پیش از آنکه گروه هکری تحت عنوان Scattered Lapsus$ Hunters بتواند تهدید خود مبنی بر افشای داده‌های به‌سرقت‌رفته از Salesforce را اجرا کند.

نسخه پشتیبان‌ها از سال ۲۰۲۳ تحت کنترل FBI

مجرمان سایبری با انتشار پیامی در تلگرام که با کلید PGP گروه ShinyHunters امضا شده بود، از تصاحب سایت خبر داده‌اند. آن‌ها مدعی شده‌اند که توقیف اجتناب‌ناپذیر بوده و بیان کرده‌اند «عصرِ فوروم‌ها به پایان رسیده است».

با بررسی‌های تکمیلی پس از اقدام نیروهای انتظامی، مشخص شده است که تمامی نسخه‌های پشتیبان (backups) BreachForums از سال ۲۰۲۳ و همه داده‌های Escrow از زمان آخرین راه‌اندازی مجدد نیز در دسترس مقامات قرار گرفته‌اند.

گروه هکری تأکید کرده‌اند که سرورهای Backend  نیز ضبط شده‌اند. اما سایت افشای داده‌ها در دارک وب هنوز فعال است.

آن‌ها تأکید دارند که هیچ یک از اعضای اصلی تیم مدیریت بازداشت نشده‌اند، و اعلام کرده‌اند که دیگر نسخه‌ای از BreachForums را راه نخواهند انداخت و چنین سایت‌هایی باید از این پس به‌عنوان honeypot در نظر گرفته شوند — یعنی تله‌هایی برای کشف فعالیت‌های مخرب.

تعقیب پرونده‌ها و سابقه فعالیت

نسخه‌ای از BreachForums که توسط مقامات ضبط شده، با نسخه‌های پیشین متفاوت است: نسخه فعلی دیگر صرفاً یک فوروم جرایم سایبری نیست، بلکه به‌عنوان یک پلتفرم اخاذی جهت پروژه‌های بزرگ مانند حملات مربوط به Salesforce فعالیت می‎کرده است.

در فوریه ۲۰۲۵، گروه ShinyHunters اعلام کرده بود که نسخه کلاسیک این فوروم را دوباره راه‌اندازی کرده‌اند، چند روز پس از آن‌که مقامات فرانسوی چهار مدیر اجرایی نسخه‌های قبلی، از جمله افراد با نام‌های کاربری ShinyHunters، Hollow، Noct و Depressed را دستگیر کردند.

در همین زمان، مقامات آمریکایی اتهاماتی علیه فردی با نام مستعار Kai West / IntelBroker مطرح کردند، که یکی از اعضای شناخته‌شده اکوسیستم جرایم سایبری BreachForums بود.

در اواسط ماه اوت، سایت BreachForums به طور کلی آفلاین شد و گروه ShinyHunters پیام امضاشده با PGP منتشر کرد و اعلام کرد زیرساخت فوروم توسط واحد BL2C فرانسه و FBI ضبط شده است، و هشدار داد نسخه جدیدی باز نخواهد گشت.

ادامه کمپین Salesforce و دامنه قربانیان

به گفته هکرها، تصرف BreachForums تأثیری بر کمپین Salesforce نداشته است و افشای داده‌ها هنوز طبق زمان‌بندیِ تعیین‌شده انجام خواهد شد: امروز ساعت ۱۱:۵۹ شب به‌وقت EST (شرقی آمریکا).

سایت افشای داده‌ها در دارک وب، فهرستی بلند از شرکت‌هایی که مورد حمله قرار گرفته‌اند منتشر کرده است، از جمله: FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France & KLM, TransUnion, HBO MAX, UPS, Chanel و IKEA.

طبق ادعای هکرها، آن‌ها بیش از یک میلیارد رکورد شامل اطلاعات مشتریان را به سرقت برده‌اند.