أعلن مكتب التحقيقات الفيدرالي (FBI) أنه نجح في مصادرة موقع إلكتروني يحمل النطاق breachforums[.]hn، كان يُستخدم من قِبل مجموعة القرصنة Scattered LAPSUS$ Hunters لابتزاز شركة Salesforce وعملائها.
ويأتي هذا الإجراء ضمن سلسلة عمليات مستمرة تستهدف إسقاط المنتديات التي تُستخدم كمنصات لتسريب وبيع البيانات المسروقة، إلا أن النسخة المظلمة من الموقع لا تزال تعمل على شبكة الإنترنت المظلم حتى الآن.
في بيان مشفّر بتقنية PGP نشرته المجموعة على تطبيق تليغرام، قالت:
“تمت مصادرة BreachForums اليوم من قبل الـFBI وشركائه الدوليين. لقد صادرت الحكومة الأمريكية جميع نطاقاتنا. لقد انتهى عصر المنتديات.”
المنتدى يعود كمنصة ابتزاز
وعلى الرغم من إعلان القراصنة إغلاق عملياتهم نهائيًا، عاد الموقع بعد أيامٍ قليلة في نسخة جديدة متخصصة في الابتزاز الإلكتروني بدلًا من كونه منتدى لتداول البيانات.
واعترفت المجموعة بأن خوادم BreachForums ونسخها الاحتياطية قد دُمّرت بالكامل، وأن الأرشيفات وقواعد بيانات الضمان المالي (escrow data) التي تعود إلى عام 2023 قد تضررت أيضًا.
تحالف جديد يوسّع نشاطه
تُعرف مجموعة Scattered LAPSUS$ Hunters أيضًا باسم Trinity of Chaos، وهي تحالفٌ جديد يضم ثلاث مجموعات تهديد سيئة السمعة:
-
Scattered Spider (المعروفة أيضًا باسم Muddled Libra)
-
LAPSUS$
-
ShinyHunters (المعروفة أيضًا باسم Bling Libra)
وخلال الأسابيع الماضية، اخترق أعضاء التحالف أنظمة شركة Salesloft، واستغلوا هذا الوصول للحصول على بيانات عملاء منصة Salesforce.
جذور الهجوم
أوضحت شركة Salesloft أن اختراق بيانات تطبيقها Drift الشهر الماضي بدأ إثر اختراق حسابها على GitHub، مما أتاح للمهاجمين الوصول إلى أكواد حساسة ومعلومات عملاء.
تاريخ طويل من الإغلاقات والعودة
يُذكر أن BreachForums يمتلك سجلًا طويلًا من الإغلاقات والإحياء المتكرر منذ اعتقال مديره الأصلي في مارس 2023.
فبعد كل عملية مصادرة من قبل السلطات، سرعان ما يعاود الظهور على نطاق جديد أو في نسخة مشفّرة على الويب المظلم، في ما يبدو أنه لعبة قط وفأر مستمرة بين سلطات إنفاذ القانون وعصابات تسريب البيانات العابرة للحدود.
