Известный криминальный форум BreachForums пережил новый, возможно, смертельный удар по своей репутации после того, как стало известно, что база данных тысяч использующих его злоумышленников была похищена еще несколько месяцев назад.
Новость об утечке получила огласку 9 января, когда ZIP-архив, содержащий базу данных MySQL с информацией о 323 986 пользователях BreachForums, появился на сайте shinyhunte[.]rs — домене, по сообщениям, не связанном с печально известной группой по вымогательству с тем же названием.
По данным сервиса Have I Been Pwned, утечка данных произошла в прошлом августе, за два месяца до того, как правоохранительные органы ликвидировали сайт BreachForums, занимавшийся вымогательством данных, после угроз со стороны Scattered Lapsus$ Hunters использовать его для публикации миллиарда записей, украденных у клиентов Salesforce.
Эти сведения совпадают с датой 11 августа, указанной в базе данных, слитой на прошлой неделе; именно в этот день администраторы сайта, по сообщениям, объявили о его закрытии из опасений, что он был скомпрометирован правоохранительными органами.
Have I been Pwned сообщил, что в украденных данных также содержались хешированные пароли, личные сообщения и посты на форуме.
Однако, по данным фирмы по анализу угроз Resecurity, в январской утечке присутствуют два новых элемента: файл закрытого PGP-ключа, защищенный паролем, и пышный, причудливый манифест объемом 4400 слов под названием «Судный день» (Doomsday), написанный автором под псевдонимом «Джеймс», который утверждает, что стоит за сливом данных.
PGP-ключ, утечка которого произошла днем позже, 10 января, скорее всего, использовался для подписи сообщений от администраторов BreachForums, отмечает Resecurity.
Одна ликвидация за другой
Эта утечка — лишь последняя в череде проблем, арестов и закрытий, затронувших некогда один из крупнейших англоязычных криминальных форумов.
BreachForums, ставший преемником сайта RaidForums, захваченного властями США в 2022 году, позиционировал себя как площадка для обсуждения таких тем, как утечки данных, незаконный контент сексуального характера, программы-вымогатели и хакерские инструменты.
В 2023 году предполагаемый основатель и администратор сайта, Конор Брайан Фитцпатрик, был арестован, а домены сайта в открытом интернете были изъяты тремя месяцами позже. Позже Фитцпатрик был приговорен судом США к трем годам тюремного заключения.
В 2024 году был также арестован сменявший его администратор под псевдонимом Baphomet, а в 2025 году были задержаны еще пять человек, обвиняемых в связях с сайтом. Наконец, в октябре прошлого года состоялась ликвидация даркнет-площадки BreachForums для вымогательства данных.
Немедленно возникает вопрос: будет ли слитая база данных полезна полиции, при условии, что у нее еще нет доступа к ней. Она содержит адреса электронной почты и IP-данные, которые, скорее всего, будут указывать на прокси-серверы или анонимизирующие сервисы. Один из анализов показал, что многие IP-адреса являются просто петлевыми (loopback). Однако самым популярным почтовым сервисом, использовавшимся для регистрации на BreachForums, является Gmail, что может предоставить криминалистическую зацепку для тех, кто проявил неосторожность и не смог скрыть свои следы.
Вопрос целостности данных
Эксперты дали смешанные отклики на новость об утечке базы данных. «Утечка значительно подрывает доверие к самой платформе, что критически важно для любого киберпреступного форума», — отметил Майкл Джепсон, менеджер по тестированию на проникновение в консалтинговой фирме CybaVerse.
«Раскрытие информации наносит ущерб уверенности в BreachForums как в безопасной среде. В результате, более изощренные киберпреступники, вероятно, мигрируют с крупных и известных форумов на небольшие, закрытые сообщества», — добавил он.
Однако Майкл Тиггес, старший аналитик отдела операций по безопасности в компании Huntress, был настроен менее оптимистично. «Хотя база данных потенциально полезна для властей и специалистов по безопасности, исследующих враждебную деятельность, ее криминалистическая ценность в конечном итоге ограничена. И хотя утечка может быть подлинной, ее целостность ставится под сомнение, если она была получена от другой киберпреступной группы», — указал он.
Самый большой риск заключается в том, что утечки данных могут использоваться для распространения дезинформации. «Подобные утечки данных могут применяться для установления связей между центрами активности, но надежность информации должна подвергаться строгой проверке», — заключил Тиггес.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
