Una vasta operazione internazionale ha messo fine alla minaccia di uno dei più pericolosi forum di cybercriminalità degli ultimi anni. L'FBI, in collaborazione con le autorità francesi, ha sequestrato nella notte tutti i domini di BreachForums, la piattaforma gestita dal gruppo ShinyHunters che aveva trasformato il furto di dati aziendali in un'attività sistematica di estorsione digitale. L'intervento delle forze dell'ordine arriva proprio mentre il collettivo si preparava a rendere pubblici i dati rubati dalle violazioni di Salesforce, coinvolgendo decine di multinazionali che si erano rifiutate di pagare il riscatto richiesto.
Il messaggio di resa dei cybercriminali
La conferma del sequestro è arrivata direttamente dai criminali informatici attraverso un messaggio su Telegram, autenticato con la chiave PGP di ShinyHunters. "Era inevitabile", hanno scritto gli hacker, aggiungendo una dichiarazione che suona come un epitaffio per l'intero settore: "l'era dei forum è finita". Il gruppo ha rivelato che tutte le copie di backup dei database di BreachForums dal 2023 sono ora nelle mani dell'FBI, insieme ai server principali della piattaforma.
Nonostante il colpo subito, i membri del team dirigente di ShinyHunters hanno precisato di non essere stati arrestati. Tuttavia, hanno annunciato che non ci sarà alcun rilancio di BreachForums, mettendo in guardia la comunità hacker che piattaforme simili dovrebbero ormai essere considerate "trappole" delle autorità.
La campagna Salesforce prosegue nonostante tutto
Il sequestro del forum non ha fermato la minaccia più immediata. Gli hacker hanno chiarito che la loro campagna contro Salesforce continuerà secondo i piani originali, con la pubblicazione dei dati rubati programmata per le 23:59 di oggi, orario della costa orientale americana. L'elenco delle vittime pubblicato sul sito nel dark web del gruppo rivela la portata devastante dell'operazione: FedEx, Disney, Home Depot, Marriott, Google, Cisco, Toyota e McDonald's sono solo alcuni dei nomi eccellenti coinvolti.
Secondo le rivendicazioni degli hacker, il bottino comprende più di un miliardo di record contenenti informazioni personali di clienti. La lista completa include anche Walgreens, Instacart, Adidas, Air France, KLM, HBO Max, UPS, Chanel e IKEA, configurando quello che potrebbe essere uno dei più grandi data breach della storia recente.
Dalla gloria alla caduta: l'evoluzione di BreachForums
La versione di BreachForums sequestrata dall'FBI rappresentava un'evoluzione rispetto ai tradizionali forum di cybercriminalità. Anziché fungere da marketplace generale per attività illegali, la piattaforma si era specializzata come strumento di estorsione per campagne mirate contro obiettivi di alto profilo. Questa trasformazione rifletteva la crescente professionalizzazione del settore criminale informatico.
La storia recente di BreachForums è un susseguirsi di rilanci e chiusure forzate. Dopo la caduta di RaidForum, lo stesso gruppo dirigente aveva orchestrato diversi tentativi di resurrezione, utilizzando amministratori come pompompurin come prestanome per mascherare la vera leadership. L'ultimo rilancio nella sua forma classica era avvenuto a luglio 2024, pochi giorni dopo che le autorità francesi avevano arrestato quattro amministratori delle versioni precedenti.
L'effetto domino delle operazioni internazionali
Il successo dell'operazione contro BreachForums si inserisce in una serie di colpi messi a segno dalle forze dell'ordine internazionali contro l'ecosistema della cybercriminalità. Contemporaneamente al sequestro del forum, le autorità statunitensi hanno formalizzato le accuse contro Kai West, noto con il pseudonimo 'IntelBroker', figura di spicco nell'ambiente criminale digitale.
Già ad agosto, BreachForums aveva subito un primo sequestro da parte dell'unità BL2C francese e dell'FBI, episodio che aveva portato ShinyHunters a dichiarare che non ci sarebbero stati ulteriori tentativi di rilancio. La promessa, evidentemente, non era stata mantenuta fino a questo intervento definitivo delle autorità.
Il modus operandi del gruppo ShinyHunters aveva raggiunto livelli di sofisticazione paragonabili a quelli di un'organizzazione criminale tradizionale, con una catena di comando ben definita e strategie di comunicazione studiate per massimizzare l'impatto psicologico sulle vittime. Il loro sito nel dark web, ancora attivo nonostante il sequestro del forum principale, testimonia la capacità di adattamento di queste organizzazioni criminali alle pressioni delle forze dell'ordine.