Det amerikanska justitiedepartementet meddelade på tisdagen att det beslagtog webbplatsen och användardatabasen för RaidForums, ett populärt engelskspråkigt cyberbrottsforum som sålde tillgång till mer än 10 miljarder konsumentregister som stulits i några av världens största dataintrång sedan 2015.
DOJ anklagade också den påstådda administratören av RaidForums – 21-årige Diogo Santos Coelho från Portugal – för sex brottspunkter, inklusive konspiration, bedrägeri med åtkomstenheter och grov identitetsstöld.
Coelho greps i Storbritannien den 31 januari på begäran av amerikanska tjänstemän. Han är fortfarande häktad i avvaktan på en lösning av hans utlämningsförfarande.
Domstolsprotokoll oförseglade på tisdag indikerar att USA nyligen erhållit rättsligt tillstånd att beslagta tre domäner som länge var värd för RaidForums webbplats. Dessa domäner var “raidforums.com”, “Rf.ws” och “Raid.lol.”
Tjänstemän öppnade en åtal i sex punkter mot Coelho i det östra distriktet i Virginia i samband med hans roll som chefsadministratör för RaidForums. Enligt åtalet ska Coelho mellan den 1 januari 2015 och omkring den 31 januari 2022 ha kontrollerat och fungerat som chefsadministratör för RaidForums, som han drev med hjälp av andra webbplatsadministratörer.
Illegal onlinemarknadsplats
Coelho och hans medkonspiratörer påstås ha designat och administrerat plattformens mjukvara och datorinfrastruktur, upprättat och genomdrivit regler för dess användare, och skapat och hanterat delar av webbplatsen dedikerade till att främja köp och försäljning av smuggelgods. De inkluderade ett underforum med titeln “Leaks Market” som beskrev sig själv som “[a] plats att köpa/sälja/handla med databaser och läckor.”
Enligt intyget som lämnats in till stöd för dessa beslag, från eller runt 2016 till februari 2022, fungerade RaidForums som en viktig onlinemarknadsplats för individer att köpa och sälja hackade eller stulna databaser som innehåller känslig personlig och ekonomisk information om offer i USA och på andra håll . Uppgifterna inkluderade stulna bank- och kontonummer, kreditkortsuppgifter, inloggningsuppgifter och personnummer.
“Avtagningen av denna onlinemarknad för återförsäljning av hackad eller stulen data stör ett av de viktigaste sätten för cyberbrottslingar att tjäna på storskalig stöld av känslig personlig och finansiell information”, säger assisterande justitieminister Kenneth A. Polite, Jr. Justitiedepartementets brottsavdelning.
“Detta är ytterligare ett exempel på hur arbetet med våra internationella brottsbekämpande partner har resulterat i stängningen av en kriminell marknadsplats och arresteringen av dess administratör,” tillade han.
Massiv internationell nedtagning
Innan det beslagtogs använde RaidForums medlemmar plattformen för att erbjuda hundratals databaser med stulna data till försäljning som innehåller mer än 10 miljarder unika register för individer som är bosatta i USA och internationellt.
När RaidForums grundades 2015 fungerade RaidForums också som en onlineplats för att organisera och stödja former av elektroniska trakasserier, inklusive genom att “raidera” – posta eller skicka en överväldigande mängd kontakt till ett offers onlinekommunikationsmedium – eller “swatting” — Bruket att göra falska rapporter till offentliga säkerhetsmyndigheter om situationer som skulle kräva ett betydande och omedelbart väpnat brottsbekämpande ingripande.
Regeringens beslagtagande av dessa domäner kommer att förhindra RaidForums medlemmar från att använda plattformen för att trafikera data som stulits från företag, universitet och statliga enheter i USA och på andra håll, inklusive databaser som innehåller känsliga, privata uppgifter från miljontals individer runt om i världen. världen, enligt DOJ.
“Våra myndighetsövergripande ansträngningar för att avveckla denna sofistikerade onlineplattform – som underlättade ett brett spektrum av kriminell verksamhet – borde komma som en lättnad för de miljoner som utsatts för den, och som en varning för de cyberbrottslingar som deltog i dessa typer av skändliga aktiviteter,” sade USA:s advokat Jessica D. Aber för det östra distriktet i Virginia.
“Anonymitet online kunde inte skydda den tilltalade i det här fallet från åtal, och det kommer inte heller att skydda andra brottslingar på nätet”, hävdade hon.
De brottsbekämpande åtgärderna mot RaidForums och Coelho var resultatet av en pågående brottsutredning av FBI:s Washington Field Office och US Secret Service.
Beslagtagandet av RaidForums webbplats och anklagelserna mot marknadsplatsens administratör visar styrkan i FBI:s internationella partnerskap, konstaterade biträdande ansvarig chef Steven M. D’Antuono från FBI:s Washington Field Office.
Amerikanska tjänstemän krediterade stöd från Joint Cybercrime Action Taskforce (Europol), National Crime Agency (UK), Svenska polismyndigheten (Sverige), Rumäniens nationella polis (Rumänien), Rättspolisen (Portugal), Internal Revenue Service Criminal Investigation, Federal Criminal Police Office (Tyskland) och andra brottsbekämpande partner.
“Cyberbrottslighet överskrider gränser, vilket är anledningen till att FBI är fast besluten att arbeta med våra partners för att ställa cyberbrottslingar inför rätta – oavsett var i världen de bor eller bakom vilken enhet de försöker gömma sig”, sa D’Antuono.
Operationell expertis avslöjad
För att dra nytta av den olagliga aktiviteten på plattformen tog RaidForums ut eskalerande priser för medlemsnivåer som erbjöd större åtkomst och funktioner. Prisstrukturen inkluderade en högklassig “Gud”-medlemskapsstatus.
RaidForums sålde också “krediter” som gav medlemmar tillgång till privilegierade områden på webbplatsen och gjorde det möjligt för medlemmar att “låsa upp” och ladda ner stulen finansiell information, identifieringsmedel och data från komprometterade databaser, bland annat. Medlemmar kan också tjäna krediter på andra sätt, till exempel genom att lägga upp instruktioner om hur man begår vissa olagliga handlingar.
Enligt åtalet sålde Coelho också personligen stulen data på plattformen och underlättade direkt otillåtna transaktioner genom att driva en avgiftsbaserad “Official Middleman”-tjänst. För den tjänsten ska Coelho ha agerat som en pålitlig mellanhand mellan RaidForums-medlemmar som försökte köpa och sälja smuggelgods på plattformen, inklusive hackad data.
För att skapa förtroende bland transaktionsparterna, gjorde den officiella mellanhandstjänsten det framför allt möjligt för köpare och säljare att verifiera betalningsmedel och smuggelfiler som säljs innan transaktionen genomfördes.
Långsiktig påverkan ifrågasatt
Den massiva nedläggningen av RaidForums kan ha liten verklig inverkan mot den stora volymen hackare som är verksamma över hela världen, enligt Casey Ellis, grundare och CTO på ett crowdsourcet cybersäkerhetsföretag Bugcrowd.
“Jag ifrågasätter den långsiktiga effekten av denna åtgärd på den cyberkriminella industrin. Cyberbrottslighet och dess stödjande kriminella tjänster är i stort sett otroligt framgångsrika och lönsamma för dem som driver dem. Affärsmodeller som denna tenderar att hitta ett sätt att fortsätta existera, säger han till TechNewsWorld.
Det ger definitivt en avskräckande aspekt för människor som överväger att lansera liknande forum och marknadsplatser, tillade han. Han misstänker dock att de helt enkelt kommer att utveckla de tekniker som används för att upprätthålla operativ säkerhet och undvika upptäckt.
“Den andra kontraintuitiva konsekvensen av den här handlingen är att den i huvudsak bränner ett värdefullt verktyg som används av de i CTI, som infiltrerar forum som det här, bygger falska personas och använder dem för att samla taktiska intrång och riskera intelligens,” sa han.
Ändå är gripandet och beslagtagandet viktiga eftersom de stör en marknadsplats och skapar ytterligare svårigheter och kostnader för cyberbrottslingar som vill tjäna pengar på sina tjänster och stulna data.
“Det är också en tydlig signal till andra forumoperatörer att de är i DOJ:s hårkors,” sa han.
Störning kan vara nyckelavskräckande
Borttagandet av RaidForums kommer att orsaka ett naturligt maktvakuum inom den cyberkriminella gemenskapen. Många av Raids medlemmar kommer sannolikt att flockas till alternativa plattformar, föreslog Chris Morgan, senior cyberhotsunderrättelseanalytiker på riskskyddsföretaget Digitala skuggor.
“Avtagningen av Raidforums kommer sannolikt inte att resultera i en större störning av den övergripande cyberkriminella aktiviteten. Cyberbrottslingar är väl insatta i plattformar som tas ner av LEA:er och så förblir de smidiga och flytande när det gäller var deras nästa val av forum sannolikt kommer att dyka upp, säger han till TechNewsWorld.
Beslagtagandet av ett enskilt forum kommer inte att ha mycket långtidseffekter, instämde John Bambenek, huvudhotsjägare på digital IT- och säkerhetsverksamhet Netenrich.
“Men om justitiedepartementet kan hålla uppe takten i operationerna mot många av dessa forum, kommer det att ge en mycket stark störning av det övergripande ekosystemet för cyberbrottslighet”, förutspådde han. “Precis som en brottsvåg inte löses med individuella åtal, är cyberbrottslighet inte annorlunda.”