FBI phá hủy cổng thông tin BreachForums được sử dụng để tống tiền Salesforce
Tối qua, FBI đã tịch thu tất cả các tên miền của diễn đàn hack BreachForums do nhóm ShinyHunters điều hành, chủ yếu là cổng thông tin để rò rỉ dữ liệu công ty bị đánh cắp trong các cuộc tấn công từ các băng nhóm tống tiền và ransomware.
Các cơ quan thực thi pháp luật tại Hoa Kỳ và Pháp đã hợp tác để kiểm soát cơ sở hạ tầng web BreachForums trước khi tin tặc Scattered Lapsus$ Hunters thực hiện được lời đe dọa rò rỉ dữ liệu từ các vụ vi phạm Salesforce tại các công ty không trả tiền chuộc.
Các bản sao lưu từ năm 2023 dưới sự kiểm soát của FBI
Nhóm tội phạm mạng đã xác nhận việc chiếm đoạt BreachForums thông qua tin nhắn trên Telegram được ký bằng khóa PGP của ShinyHunters. Chúng cho biết việc chiếm đoạt là không thể tránh khỏi và nói thêm rằng "thời đại của diễn đàn đã kết thúc".
BleepingCompuer có thể xác nhận rằng BreachForums hiện do cơ quan thực thi pháp luật kiểm soát vì bản cập nhật tên miền mới nhất diễn ra vào ngày 9 tháng 10 và máy chủ tên đã được thay đổi thành máy chủ mà FBI sử dụng để tịch thu.
Từ phân tích được thực hiện sau hành động của cơ quan thực thi pháp luật, ShinyHunters kết luận rằng tất cả các bản sao lưu cơ sở dữ liệu BreachForums kể từ năm 2023 đều đã bị xâm phạm cùng với tất cả các cơ sở dữ liệu ký quỹ kể từ lần khởi động lại gần đây nhất.
Nhóm này cũng cho biết các máy chủ phụ trợ đã bị thu giữ. Tuy nhiên, trang web rò rỉ dữ liệu của nhóm này trên dark web vẫn còn hoạt động.
Nhóm ShinyHunters cho biết không có ai trong nhóm quản trị cốt lõi bị bắt nhưng họ sẽ không mở thêm BreachForums nào nữa, lưu ý rằng từ giờ trở đi, những trang web như vậy nên được coi là honeypot.
Theo thông điệp của tác nhân đe dọa, sau khi RaidForum bị đánh sập, nhóm cốt cán đó đã lên kế hoạch khởi động lại nhiều diễn đàn, sử dụng những quản trị viên như pompompurin làm bình phong.
Tin nhắn từ băng đảng ShinyHunters sau khi FBI tịch thu BreachForums
Nguồn: BleepingComputer
Ngoài ra, bọn tội phạm mạng nhấn mạnh rằng vụ bắt giữ này không ảnh hưởng đến chiến dịch Salesforce của chúng và vụ rò rỉ dữ liệu vẫn được lên lịch vào lúc 11:59 tối EST hôm nay.
Trang web rò rỉ dữ liệu của băng nhóm trên dark web cho thấy danh sách dài các công ty bị ảnh hưởng bởi chiến dịch Salesforce, trong đó có FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel và IKEA.
Theo các tin tặc, chúng đã đánh cắp hơn một tỷ hồ sơ chứa thông tin về khách hàng.
Cần phải làm rõ rằng biến thể BreachForum mà chính quyền thu giữ ngày hôm qua khác với phiên bản trước đó của nền tảng có cùng tên ở chỗ nó không phải là diễn đàn về tội phạm mạng mà hoạt động như một trang web tống tiền dữ liệu cho các chiến dịch nổi bật như vụ vi phạm Salesforce.
Những kẻ săn Lapsus$ rải rác đã sử dụng BreachfForums cho chiến dịch Salesforce
nguồn: BleepingCompuer.com
Lần khởi động lại gần đây nhất của BreachForums theo hình thức cổ điển đã được ShinyHunters công bố vào tháng 7 năm 2025, một vài ngày sau khi cơ quan thực thi pháp luật ở Pháp bắt giữ bốn quản trị viên của các lần khởi động lại trước đó, bao gồm những cá nhân có tên người dùng là ShinyHunters, Hollow, Noct và Depressed.
Cùng lúc đó, chính quyền Hoa Kỳ đã công bố cáo buộc đối với Kai West , hay còn gọi là 'IntelBroker', một thành viên cấp cao của hệ sinh thái tội phạm mạng BreachForums.
Vào giữa tháng 8, BreachForums đã ngừng hoạt động và ShinyHunters đã công bố một thông báo có chữ ký PGP thông báo rằng cơ sở hạ tầng của diễn đàn đã bị đơn vị BL2C của Pháp và FBI tịch thu, đồng thời cảnh báo rằng sẽ không có sự khởi động lại nào nữa.
Theo : Bleeping Computer ® LLC
