RaidForums 해킹 포럼, 경찰에 압수 및 운영자 체포

세계 최대 해킹 커뮤니티 '레이드포럼(RaidForums)' 운영자가 체포되고, 사이트가 폐쇄됐습니다.

 

RaidForums은 유출된 데이터베이스(주민등록번호, 로그인 정보, 신용 카드, 은행 계좌)를 거래하고 판매하는데 사용됩니다.

 

해당 도메인은 미국, Europol, NCA 및 기타 4개 국가와 협력하여 수행한 "Operation Tourniquet"의 결과로 압수되었습니다.

 

RaidForums를 운영한 14세

영국 법무부는 RaidForums의 관리자이자 운영자인 Diogo Santos Coelho(21세, 포르투갈)를 액세스 장치 사기 및 신원 도용을 포함한 6건의 범죄 혐의로 기소했습니다.

 

미국 법무부는 4월 12일(현지 시간) Coelho의 나이가 21세라고 밝혔습니다. 2015년 RaidForums를 시작했을 때 그는 겨우 14세 였음을 의미합니다.

 

RaidForums를 호스팅하는 세 개의 도메인(“raidforums.com”, “Rf.ws” 및 “Raid.Lol”)은 압수되었습니다.

[그림 1] 레이드포럼 도메인을 압수 및 홈페이지 폐쇄

 

Europol은 RaidForums이 500,000명 이상의 사용자를 보유하고 있으며 "세계에서 가장 큰 해킹 포럼 중 하나"라고 말합니다.

 

“이 마켓플레이스는 다양한 산업 분야의 미국 기업의 유출된 데이터베이스와 액세스 권한을 판매함으로써 명성을 얻었습니다. 여기에는 수백만 개의 신용 카드, 은행 계좌 번호 및 라우팅 정보, 온라인 계정에 액세스하는 데 필요한 사용자 이름 및 관련 암호 정보가 포함되었습니다." - Europol

 

RaidForums을 폐쇄하는 것은 미국, 영국, 스웨덴, 포르투갈, 루마니아의 법 집행 당국이 1년 동안 계획한 결과입니다. 조사에 시간이 얼마나 걸렸는지는 불분명하지만 법 집행 기관 간의 협력을 통해 당국은 RaidForums 내에서의 역할에 대한 명확한 그림을 그릴 수 있었습니다.

 

유럽 ​​법 집행 기관은 보도 자료에서 세부 사항을 거의 공유하지 않았지만, RaidForums을 계속 운영한 사람들이 관리자, 돈세탁자, 데이터 도용 및 업로드, 훔친 정보 구매 등의 일을 했다고 언급했습니다. Coelho는 2015년 1월 1일부터 RaidForums를 운영한 혐의로 기소되었으며, 그는 몇 명의 관리자의 도움으로 사이트를 운영하여 유출된 데이터 등의 매매를 촉진하는 구조를 조직했습니다.

 

RaidForums은 수익을 내기 위해 회원 등급에 따른 수수료를 부과하고 회원들이 사이트의 특권 영역에 접근할 수 있는 크레딧을 판매하거나 포럼에 버려진 유출된 데이터를 도용했습니다. 또한 Coelho는 거래 당사자 간의 신뢰할 수 있는 중개자 역할을 하여, 구매자와 판매자가 계약을 준수할 것이라는 확신을 제공했습니다.

 

2월, RaidForums 사이트 압수 의심

위협 행위자와 보안 연구원은 RaidForums 사이트가 모든 페이지에 로그인 양식을 표시하기 시작한 2월에 RaidForums가 법 집행 기관에 의해 압수된 것으로 처음 의심했습니다.

[그림 2] 레이드포럼 도메인

 

사이트에 로그인하려고 하면 다시 로그인 페이지만 표시됩니다. 이로 인해 연구원과 포럼 회원들은 사이트가 압수되었으며 로그인 프롬프트가 위협 행위자의 자격 증명을 수집하기 위한 법 집행 기관의 피싱 시도라고 믿게 되었습니다.

 

2022년 2월 27일, raidforums.com의 DNS 서버 가 갑자기 다음 서버로 변경되었습니다.

jocelyn.ns.cloudflare.com plato.ns.cloudflare.com

 

위의 DNS 서버는 이전에 weleakinfo.com 및 doublevpn.com 등이 법 집행 기관에 의해 압수되었을 때 사용되었기 때문에 연구원들은 RaidForums 도메인이 압수되었다고 예상했습니다.

 

RaidForums은 지난 몇 년 동안 유명해졌으며 랜섬웨어 갱단과 해커가 데이터를 유출하여 피해자에게 몸값을 지불하도록 압력을 가하기 위해 자주 사용되었으며, Babuk 랜섬웨어 그룹과 Lapsus$ 그룹이 모두 사용했습니다.

 

RaidForums은 2015년부터 활성화되었으며 오랫동안 해커가 도난당한 데이터베이스를 판매하거나 포럼 회원과 공유할 수 있는 최단 경로였습니다. 포럼에서 거래되는 민감한 데이터에는 은행 라우팅 및 계좌 번호, 신용 카드, 로그인 정보, 주민등록번호와 같은 개인 및 금융 정보가 포함되었습니다.

 

많은 사이버 범죄 포럼이 러시아어를 사용했지만 RaidForums는 가장 인기 있는 영어 사용 해킹 포럼이었습니다. 러시아가 우크라이나를 침공하고 많은 위협 행위자가 지지하기 시작한 후, RaidForums는 러시아와 관련된 것으로 알려진 회원을 금지한다고 발표했습니다.

 

출처 : 

https://www.bleepingcomputer.com/news/security/raidforums-hacking-forum-seized-by-police-owner-arrested/ 

 

보안관제센터 MIR Team