El foro de piratería RaidForums incautado por la policía, el propietario arrestado

El foro de hackers RaidForums, utilizado principalmente para comerciar y vender bases de datos robadas, fue clausurado y su dominio incautado por las fuerzas del orden estadounidenses durante la Operación TOURNIQUET, una acción coordinada por Europol que involucró a las fuerzas del orden de varios países.

El administrador de RaidForum y dos de sus cómplices han sido arrestados, y la infraestructura del mercado ilegal ahora está bajo el control de las fuerzas del orden.

14 años comenzó RaidForums

El administrador y fundador de RaidForums, Diogo Santos Coelho de Portugal, también conocido como Omnipotente, ha sido arrestado el 31 de enero en el Reino Unido y enfrenta cargos criminales. Ha estado bajo custodia desde el arresto, a la espera de la resolución de su proceso de extradición.

El Departamento de Justicia de EE. UU. dice hoy que Coelho tiene 21 años, lo que significa que solo tenía 14 cuando lanzó RaidForums en 2015.

Se han incautado tres dominios que albergan RaidForums: "raidforums.com", "Rf.ws" y "Raid.Lol".

Las autoridades incautan dominios e infraestructura del mercado RaidForums por bases de datos robadas

Según el Departamento de Justicia, el mercado ofreció a la venta más de 10 mil millones de registros únicos de cientos de bases de datos robadas que afectaron a las personas que residen en los EE. UU.

En un anuncio separado hoy, Europol dice que RaidForums tenía más de 500.000 usuarios y "era considerado uno de los foros de piratería más grandes del mundo".

"Este mercado se había hecho un nombre vendiendo acceso a filtraciones de bases de datos de alto perfil pertenecientes a varias corporaciones estadounidenses en diferentes industrias. Estos contenían información de millones de tarjetas de crédito, números de cuentas bancarias e información de enrutamiento, y los nombres de usuario y las contraseñas asociadas necesarias para acceder a cuentas en línea "- Europol

Desmantelar el foro y su infraestructura es el resultado de un año de planificación entre las autoridades encargadas de hacer cumplir la ley en los Estados Unidos, el Reino Unido, Suecia, Portugal y Rumania.

No está claro cuánto tiempo tomó la investigación, pero la colaboración entre las agencias de aplicación de la ley permitió a las autoridades pintar una imagen clara de los roles que tenían las diferentes personas dentro de RaidForums.

La agencia europea de aplicación de la ley compartió pocos detalles en su comunicado de prensa, pero señala que las personas que mantuvieron en funcionamiento RaidForums trabajaron como administradores, lavadores de dinero, robaron y cargaron datos y compraron la información robada.

Coelho supuestamente controlaba RaidForums desde el 1 de enero de 2015, revela la acusación, y operaba el sitio con la ayuda de algunos administradores, organizando su estructura para promover la compra y venta de bienes robados.

Para obtener ganancias, el foro cobró tarifas para varios niveles de membresía y vendió créditos que permitieron a los miembros acceder a áreas privilegiadas del sitio o datos robados arrojados al foro.

Coelho también actuó como un intermediario confiable entre las partes que realizan una transacción, para brindar confianza de que los compradores y vendedores cumplirían su acuerdo.

Los miembros comienzan a sospechar en febrero

Los actores de amenazas y los investigadores de seguridad sospecharon por primera vez que RaidForums fue incautado por la policía en febrero cuando el sitio comenzó a mostrar un formulario de inicio de sesión en cada página.

Página de phishing de RaidForums

Sin embargo, al intentar iniciar sesión en el sitio, simplemente volvió a mostrar la página de inicio de sesión.

Esto llevó a los investigadores y miembros de los foros a creer que el sitio fue incautado y que el indicador de inicio de sesión fue un intento de phishing por parte de las fuerzas del orden público para recopilar las credenciales de los actores de amenazas.

El 27 de febrero de 2022, los servidores DNS de raidforums.com se cambiaron repentinamente a los siguientes servidores:

jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com

Como estos servidores DNS se usaron anteriormente con otros sitios incautados por las fuerzas del orden, incluidos weleakinfo.com y doublevpn.com, los investigadores creyeron que esto añadía más evidencia de que el dominio había sido incautado.

Antes de convertirse en el lugar favorito de los piratas informáticos para vender datos robados, RaidForums tuvo un comienzo más humilde y se utilizó para organizar varios tipos de acoso electrónico, que incluían aplastar objetivos (hacer informes falsos que conducían a la intervención armada de la ley) y "ataques", que el DoJ describe como "publicar o enviar un volumen abrumador de contactos al medio de comunicación en línea de una víctima".

El sitio se hizo muy conocido en los últimos dos años y las pandillas de ransomware y los extorsionadores de datos lo usaban con frecuencia para filtrar datos como una forma de presionar a las víctimas para que pagaran un rescate, y fue utilizado tanto por la pandilla de ransomware Babuk como por Lapsus $. grupo de extorsión en el pasado.

El mercado ha estado activo desde 2015 y durante mucho tiempo fue la ruta más corta para que los piratas informáticos vendieran bases de datos robadas o las compartieran con miembros del foro.

Los datos confidenciales comercializados en el foro incluían información personal y financiera, como números de cuenta y ruta bancaria, tarjetas de crédito, información de inicio de sesión y números de seguridad social.

Si bien muchos foros de delitos cibernéticos atendieron a los actores de amenazas de habla rusa, RaidForums se destacó como el foro de piratería de habla inglesa más popular.

Después de que Rusia invadió Ucrania, y muchos actores de amenazas comenzaron a tomar partido, RaidForums anunció que prohibirían a cualquier miembro que se supiera que estaba asociado con Rusia.

Descubre más contenido

Subir Change privacy settings