Недавний захват домена BreachForums силами Министерства юстиции США, ФБР и французского подразделения по борьбе с киберпреступностью BL2C стал заметным ударом по экосистеме киберпреступности. Операция особенно затронула группу ShinyHunters и формирующийся альянс Scattered Lapsus$ Hunters. Случай иллюстрирует, как хакерские структуры адаптируются к давлению со стороны правоохранительных органов и быстро меняют тактику в ответ на репрессии.
Короткая хронология событий
- Март 2023: арест основателя BreachForums — Conor Fitzpatrick.
- Июнь 2023: первый домен был изъят; сайт перезапустили, но его роль изменилась.
- После перезапуска BreachForums быстро трансформировался в платформу для вымогательства, в частности против клиентов Salesforce, которые отказывались платить выкуп.
- 10 октября 2025: последний захват домена произошёл в разгар активной кампании по вымогательству в отношении клиентов Salesforce.
Кто такие злоумышленники и как они действуют
Активность ShinyHunters изменилась: группа подтвердила «захват» через заявление, подписанное PGP. Форум, изначально служивший площадкой для обмена данными и обсуждений, превратился в оперативный ресурс для вымогательства, что отражает гибкость и адаптивность акторов перед лицом давления правоохранительных органов.
«Группа ShinyHunters подтвердила захват посредством заявления, подписанного PGP.»
Альянс Scattered Lapsus$ Hunters, в который входят участники из Scattered Spider, LAPSUS$ и ShinyHunters, делает ставку на социальную инженерию и эксплуатацию уязвимостей во взаимосвязанных приложениях. Их тактика подчёркивает комбинирование технических методов и психологических манипуляций.
Основные тактики и цели
- vishing (voice phishing) — активное использование голосовой социальной инженерии.
- Эксплуатация подключённых приложений и сервисов, часто через слабые места в интеграции SaaS-решений.
- Целевые атаки на корпоративных клиентов, использующих платформы SaaS, где ценность доступа к данным высока.
- Сочетание традиционных методов взлома с социальными манипуляциями для обхода мер защиты.
Почему это опасно для бизнеса
Трансформация форумов в оперативные площадки для вымогательства усиливает риск для компаний: утечки данных, прямые требования выкупа, атакованный имидж и коммерческие потери. Особенно уязвимы организации, тесно завязанные на SaaS-инструменты и внешние интеграции.
Рекомендации по снижению рисков
- Непрерывный мониторинг Dark Web — ключевой элемент для раннего обнаружения утечек и перемещений акторов.
- Платформы мониторинга дают представление о потенциальном воздействии, позволяют отслеживать утечки данных и поведение злоумышленников.
- Оповещения в режиме реального времени, связанные с известными threat actors, позволяют делать проактивные шаги в защите.
- Усиление контроля доступа: IAM, многофакторная аутентификация, принцип наименьших привилегий.
- Проверка и защита интеграций с внешними приложениями и API; регулярные аудит и верификация подключений.
- Обучение сотрудников распознаванию social engineering и vishing-атак — регулярные сценарные тренировки и фишинг-симуляции.
- Разработка и отработка плана реагирования на инциденты, включая сценарии утечки данных и требований выкупа.
Выводы
Дело BreachForums демонстрирует, что операционные модели киберпреступников быстро эволюционируют: форумы могут превращаться в прямые инструменты вымогательства, а альянсы между группами усиливают их возможности. В таких условиях компании должны сочетать технические меры, мониторинг Dark Web и подготовку персонала, чтобы успевать реагировать на угрозы до их эскалации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Захват BreachForums: ShinyHunters и вымогательство против Salesforce".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.