Ultima modifica da un moderatore:
Tempo di lettura stimato: 7 min
Per chi non lo conoscesse, RaidForums è stato uno dei più famosi forum di compravendita di data-leaks al mondo. Lanciato nel 2015, si è fatto conoscere sempre di più con il passare del tempo (soprattutto grazie alla pubblicazione di sempre più grossi data-leaks), raggiungendo un totale di circa mezzo milione di iscritti.
Sul forum venivano venduti numerosi dati rubati, come files, archivi riservati, programmi craccati, abbonamenti, addirittura le flag di HackTheBox, ma ciò che ha sempre contraddistinto questo forum da tutti gli altri è stata la quasi più totale onnipresenza dei più grandi data-leak degli ultimi anni. Sul forum venivano venduti (e talvolta distribuiti gratuitamente) giga e giga di credenziali rubate, numeri di carte di credito, email e qual si voglia altra informazione proveniente dai database dai più grandi siti web e social online. Tra i vari data leak pubblicati sul forum ricorderemo sicuramente quello relativo a Facebook, con oltre 533 milioni di dati rubati, oppure il data leak subito dalla regione Lazione:
www.bleepingcomputer.com
Oltre a questo il forum operava tramite un meccanismo di membership, dove gli utenti potevano pagare e sbloccare dei gradi utente sempre più alti che fornivano loro accesso ad aree private del forum e chat riservate dove poter scambiare liberamente i dati legati alle attività di cyber-crime.
Sul forum venivano venduti numerosi dati rubati, come files, archivi riservati, programmi craccati, abbonamenti, addirittura le flag di HackTheBox, ma ciò che ha sempre contraddistinto questo forum da tutti gli altri è stata la quasi più totale onnipresenza dei più grandi data-leak degli ultimi anni. Sul forum venivano venduti (e talvolta distribuiti gratuitamente) giga e giga di credenziali rubate, numeri di carte di credito, email e qual si voglia altra informazione proveniente dai database dai più grandi siti web e social online. Tra i vari data leak pubblicati sul forum ricorderemo sicuramente quello relativo a Facebook, con oltre 533 milioni di dati rubati, oppure il data leak subito dalla regione Lazione:
533 million Facebook users’ phone numbers leaked on hacker forum
The mobile phone numbers and other personal information for approximately 533 million Facebook users worldwide has been leaked on a popular hacker forum for free.
Oltre a questo il forum operava tramite un meccanismo di membership, dove gli utenti potevano pagare e sbloccare dei gradi utente sempre più alti che fornivano loro accesso ad aree private del forum e chat riservate dove poter scambiare liberamente i dati legati alle attività di cyber-crime.
Il forum è stato in prima battuta sequestrato, e poi successivamente chiuso, dall'Europol (in collaborazione con altre agenzie) in quella che è stata nominata l'operazione TOURNIQUET, durata circa un anno, in cui sono state identificate meticolosamente tutte quante le figure di rilievo del forum (amministratori, riciclatori, venditori, addetti al reperimento dei files, ecc.).
Il primo arresto è avvenuto il 31 Gennaio, quando il CEO, nonché fondatore del forum, Diogo Santos Coelho (noto come "Omnipotent"), è stato arrestato in Gran Bretagna. Il criminale ha 21 anni ed è attualmente accusato di cospirazione, frode e furto aggravato di identità in relazione al suo ruolo di amministratore.
Il secondo arresto è avvenuto invece a Marzo, da parte dell'NSA, che ha arrestato un altro ragazzo di 21 anni (ora rilasciato ma ancora sotto indagine), sospettato di essere uno dei co-fondatori del forum.
I domini che sono stati sequestrati dalle forze dell'ordine sono rispettivamente:
- raidforums.com
- Rf.ws
- Raid.lol
I primi sospetti che il forum fosse stato sequestrato risalgono a fine Febbraio, quando sono iniziate a comparire diverse pagine di login per accedere a vari contenuti precedentemente pubblici; che però una volta compilate indirizzavano l'utente ad un' altra pagina di login. Tali form si sono rivelati essere delle *presunte* pagine di phishing impiantate dalle forze dell'ordine per ottenere le credenziali di accesso dei criminali.
Il 27 Febbraio inoltre i server DNS di raidforums.com sono stati improvvisamente cambiati in jocelyn.ns.cloudflare.com e plato.ns.cloudflare.com, due DNS usati già in passato per altri sequestri, come per esempio quelli di weleakinfo.com and doublevpn.com (elementi che hanno rafforzato l'ipotesi di sequestro del dominio).
Note del Redattore:
Per quanto la chiusura del forum e l'arresto dei criminali sia un grandissimo passo avanti verso la lotta al cyber-crime, non fanno altro che sorgermi innumerevoli dubbi e domande in relazione a quanto successo:
- Com'è possibile che un forum di tale spessore, noto per essere il punto di incontro di migliaia di criminali e fulcro di tantissime attività illecite, sia potuto rimanere PUBBLICO sul clear-web per tutto questo tempo?
- Come mai non è stato chiuso prima, ma dopo ben 7 anni di attività? Pigrizia da parte delle forze dell'ordine o grandi skills da parte degli amministratori?
- Data la giovane età di tutte queste menti brillanti (21 anni i due admin di RaidForums, dai 16 ai 21 i ragazzi di LAPSUS$), da dove provengono queste competenze? Passione e dedizione? Talento naturale? Entrambe le ipotesi?
Inoltre il sito sarebbe potuto essere un ottimo honeypot da utilizzare per catturare altri black-hat e criminali. Perché chiuderlo definitivamente? Non nego che la chiusura del forum un po' mi dispiaccia, soprattutto perché era un'ottima fonte per l'OSINT e per il threat hunting. Sì, erano presenti molti criminali, ma al contempo era un posto da cui molti white hat reperivano informazioni per aiutare le vittime delle truffe.
Voi cosa ne pensate a riguardo? Avete delle risposte (fondate) alle mie domande?
Nel mentre continueremo a seguire la vicenda in cerca di novità
Voi cosa ne pensate a riguardo? Avete delle risposte (fondate) alle mie domande?
Nel mentre continueremo a seguire la vicenda in cerca di novità
Made with ❤ for Inforge
