Le forum de hackers RaidForums, utilisé principalement pour le commerce et la vente de bases de données volées, a été fermé et son domaine saisi par les forces de l’ordre américaines lors de l’opération TOURNIQUET, une action coordonnée par Europol qui a impliqué des forces de l’ordre dans plusieurs pays.
L’administrateur de RaidForum et deux de ses complices ont été arrêtés, et l’infrastructure du marché illégal est désormais sous le contrôle des forces de l’ordre.
14 ans a commencé RaidForums
L’administrateur et fondateur de RaidForums, Diogo Santos Coelho du Portugal, a été arrêté le 31 janvier au Royaume-Uni et fait face à des accusations criminelles. Il est détenu depuis son arrestation, dans l’attente du règlement de sa procédure d’extradition.
Le ministère américain de la Justice affirme aujourd’hui que Coelho a 21 ans, ce qui signifie qu’il n’avait que 14 ans lorsqu’il a lancé RaidForums en 2015.
Trois domaines hébergeant RaidForums ont été saisis : « raidforums.com », « Rf.ws » et « Raid.Lol ».
Selon le DoJ, le marché a proposé à la vente plus de 10 milliards d’enregistrements uniques provenant de centaines de bases de données volées qui ont eu un impact sur les personnes résidant aux États-Unis.
Dans une annonce séparée aujourd’hui, Europol déclare que RaidForums comptait plus de 500 000 utilisateurs et « était considéré comme l’un des plus grands forums de piratage au monde ».
«Ce marché s’était fait un nom en vendant l’accès à des fuites de bases de données très médiatisées appartenant à un certain nombre de sociétés américaines dans différents secteurs. Ceux-ci contenaient des informations sur des millions de cartes de crédit, des numéros de compte bancaire et des informations de routage, ainsi que les noms d’utilisateur et les mots de passe associés nécessaires pour accéder aux comptes en ligne » – Europol
La suppression du forum et de son infrastructure est le résultat d’un an de planification entre les autorités chargées de l’application de la loi aux États-Unis, au Royaume-Uni, en Suède, au Portugal et en Roumanie.
On ne sait pas combien de temps l’enquête a duré, mais la collaboration entre les forces de l’ordre a permis aux autorités de brosser un tableau clair des rôles joués par les différents individus au sein de RaidForums.
L’agence européenne d’application de la loi a partagé peu de détails dans son communiqué de presse, mais note que les personnes qui ont assuré le fonctionnement de RaidForums ont travaillé comme administrateurs, blanchisseurs d’argent, volé et téléchargé des données et acheté les informations volées.
Coelho aurait contrôlé RaidForums depuis le 1er janvier 2015, révèle l’acte d’accusation, et il exploitait le site avec l’aide de quelques administrateurs, organisant sa structure pour promouvoir l’achat et la vente de biens volés.
Pour réaliser un profit, le forum facturait des frais pour différents niveaux d’adhésion et vendait des crédits qui permettaient aux membres d’accéder à des zones privilégiées du site ou à des données volées déversées sur le forum.
Coelho a également agi en tant qu’intermédiaire de confiance entre les parties effectuant une transaction, afin de garantir que les acheteurs et les vendeurs honoreraient leur accord.
Les membres deviennent méfiants en février
Les acteurs de la menace et les chercheurs en sécurité ont d’abord soupçonné que RaidForums avait été saisi par les forces de l’ordre en février lorsque le site a commencé à afficher un formulaire de connexion sur chaque page.
Cependant, lors de la tentative de connexion au site, il a simplement montré à nouveau la page de connexion.
Cela a conduit les chercheurs et les membres des forums à croire que le site avait été saisi et que l’invite de connexion était une tentative de phishing par les forces de l’ordre pour recueillir les informations d’identification des acteurs de la menace.
Le 27 février 2022, les serveurs DNS de raidforums.com a été soudainement remplacé par les serveurs suivants :
jocelyn.ns.cloudflare.com plato.ns.cloudflare.com
Comme ces serveurs DNS étaient auparavant utilisés avec d’autres sites saisis par les forces de l’ordre, notamment weleakinfo.com et doublevpn.com, les chercheurs ont estimé que cela ajoutait une preuve supplémentaire que le domaine avait été saisi.
Avant de devenir le lieu de prédilection des pirates pour vendre des données volées, RaidForums a connu des débuts plus modestes et a été utilisé pour organiser divers types de harcèlement électronique, notamment le swatting de cibles (faire de faux rapports menant à une intervention armée des forces de l’ordre) et le « raid », qui le DoJ décrit comme « la publication ou l’envoi d’un volume écrasant de contacts sur le support de communication en ligne d’une victime ».
Le site est devenu bien connu au cours des deux dernières années et il a été fréquemment utilisé par les gangs de rançongiciels et les extorqueurs de données pour divulguer des données afin de faire pression sur les victimes pour qu’elles paient une rançon, et a été utilisé à la fois par le gang de rançongiciels Babuk et le Lapsus $ groupe d’extorsion dans le passé.
La place de marché est active depuis 2015 et a longtemps été le chemin le plus court pour les pirates pour vendre des bases de données volées ou les partager avec les membres du forum.
Les données sensibles échangées sur le forum comprenaient des informations personnelles et financières telles que le routage bancaire et les numéros de compte, les cartes de crédit, les informations de connexion et les numéros de sécurité sociale.
Alors que de nombreux forums sur la cybercriminalité s’adressaient aux acteurs de la menace russophones, RaidForums s’est démarqué comme étant le forum de piratage anglophone le plus populaire.
Après que la Russie a envahi l’Ukraine et que de nombreux acteurs de la menace ont commencé à prendre parti, RaidForums a annoncé qu’il interdisait tout membre connu pour être associé à la Russie.