La policía cerró uno de los foros de hackers más grandes del mundo y arrestó al propietario
El foro de hackers RaidForums, utilizado principalmente para comerciar y vender bases de datos robadas, fue clausurado y su dominio incautado por las autoridades estadounidenses. Esto fue posible durante la Operación TOURNIQUET, una acción coordinada por Europol que involucró a las fuerzas de seguridad de varios países.
El administrador de RaidForum y dos de sus cómplices fueron arrestados, y la infraestructura del mercado ilegal ahora está bajo el control de las fuerzas de seguridad.
El creador de RaidForums tenía 14 años cuando lo inició
El administrador y fundador de RaidForums, Diogo Santos Coelho de Portugal, también conocido como Omnipotent, fue arrestado el 31 de enero en el Reino Unido y enfrenta cargos criminales. Ha estado bajo custodia desde el arresto, a la espera de la resolución de su proceso de extradición.
El Departamento de Justicia de Estados Unidos dice que Coelho tiene actualmente 21 años, lo que significa que solo tenía 14 cuando lanzó RaidForums en 2015.
Las autoridades han incautado tres dominios que alojan RaidForums: “raidforums.com”, “Rf.ws” y “Raid.Lol”.
Según el Departamento de Justicia, el sitio ofreció a la venta más de 10 mil millones de registros únicos de cientos de bases de datos robadas. Estas ventas afectaron a personas que residen en los Estados Unidos.
En un anuncio separado, Europol afirmó que RaidForums tenía más de 500,000 usuarios y “era considerado uno de los foros de hackers más grandes del mundo”.
“Este sitio de comercio se había hecho un nombre vendiendo acceso a filtraciones de bases de datos de alto perfil. Estas bases de datos pertenecen a varias corporaciones estadounidenses en diferentes industrias. Las bases de datos contenían información de millones de tarjetas de crédito, números de cuentas bancarias e información de enrutamiento. Asimismo, los nombres de usuario y las contraseñas asociadas necesarias para acceder a las cuentas en línea”
– Europol
Planificación de la operación
Desmantelar el foro y su infraestructura es el resultado de un año de planificación entre las autoridades encargadas de hacer cumplir la ley en los Estados Unidos, el Reino Unido, Suecia, Portugal y Rumania.
No está claro cuánto tiempo tomó la investigación. No obstante, la colaboración entre las agencias de aplicación de la ley permitió a las autoridades dibujar una imagen clara de los roles que tenían las diferentes personas dentro de RaidForums.
La agencia europea de aplicación de la ley compartió pocos detalles en su comunicado de prensa. Sin embargo, señaló que las personas que mantuvieron en funcionamiento RaidForums trabajaron como administradores y lavadores de dinero. También, robaron y subieron datos y compraron la información robada.
Según la acusación, Coelho supuestamente controlaba RaidForums desde el 1 de enero de 2015. Además,él operaba el sitio con la ayuda de algunos administradores, organizando su estructura para promover la compra y venta de bienes robados.
Para obtener ganancias, el foro cobró tarifas para varios niveles de membresía. Y, vendió créditos que permitieron a los miembros acceder a áreas privilegiadas del sitio o datos robados subidos al foro.
Coelho también actuaba como un intermediario confiable entre las partes que realizaban una transacción. Esto para brindar confianza de que los compradores y vendedores cumplirían su acuerdo.
Los miembros comenzaron a sospechar en febrero
Los hackers y los investigadores de seguridad sospecharon por primera vez que RaidForums fue incautado por la policía en febrero. Las sospechas se originaron cuando el sitio comenzó a mostrar un formulario de inicio de sesión en cada página.
Sin embargo, al intentar iniciar sesión en el sitio, simplemente volvía a mostrar la página de inicio de sesión.
Esto llevó a los investigadores y miembros del foro a creer que el sitio fue incautado. Y, que el formulario de inicio de sesión fue un intento de phishing por parte de las autoridades para recopilar las credenciales de los ciberdelincuentes.
El 27 de febrero de 2022, los servidores DNS de raidforums.com se cambiaron repentinamente a los siguientes servidores:
jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com
Estos servidores DNS se usaron anteriormente con otros sitios incautados por las fuerzas de seguridad, incluidos weleakinfo.com y doublevpn.com. Por lo tanto, los investigadores creyeron que esto añadía más evidencia de que el dominio había sido incautado.
Antes de convertirse en el lugar favorito de los hackers para vender datos robados, RaidForums tuvo un comienzo más humilde. En un principio se utilizó para organizar varios tipos de acoso electrónico, que incluían dañar objetivos (hacer informes falsos que conducían a la intervención armada de la ley) y “raiding”. El DoJ describe el raiding como “publicar o enviar un volumen abrumador de contactos al medio de comunicación en línea de una víctima”.
Foro muy popular
El sitio se hizo muy conocido en los últimos dos años y las bandas de ransomware y los extorsionadores de datos lo usaban con frecuencia para filtrar datos. Las filtraciones era una forma de presionar a las víctimas para que pagaran un rescate. RaidForums fue utilizado por la banda de ransomware Babuk y el grupo de extorsión Lapsus$ en el pasado.
El sitio estuvo activo desde 2015 y durante mucho tiempo fue la ruta más corta para que los hackers vendieran bases de datos robadas o las compartieran con miembros del foro.
Los datos confidenciales comercializados en el foro incluían información personal y financiera. También, números de cuenta y ruta bancaria, tarjetas de crédito, información de inicio de sesión y números de seguridad social.
Muchos foros de delitos cibernéticos se destacan por atender hackers de habla rusa. No obstante, RaidForums se destacó como el foro de hackers de habla inglesa más popular.
Después de que Rusia invadió Ucrania, y muchos hackers comenzaron a tomar partido, RaidForums anunció que prohibirían a cualquier miembro que se supiera que estaba asociado con Rusia.