Киберфорум LeakBase, крупнейшая площадка для продажи украденных данных, ликвидирован властями США и 13 других стран. Захвачена база данных, произведены аресты. Эксперты сомневаются в долгосрочном эффекте. — csoonline.com
Киберфорум LeakBase, считающийся одной из крупнейших в мире онлайн-площадок для покупки и продажи украденных данных и инструментов киберпреступности, был ликвидирован властями США, также произведены аресты в других странах.
Министерство юстиции США заявило в четверг, что ранее на этой неделе правоохранительные органы 14 стран провели скоординированную операцию против сайта и его 142 000 пользователей, захватив его данные и два домена, используемых форумом. Правоохранители также провели обыски, произвели аресты и допросы в Соединенных Штатах, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.
Членам LeakBase также были отправлены «предупреждающие сообщения».
По данным США и Европола, европейской полицейской организации, захваченная база данных включала пары учетных данных (логины и соответствующие пароли), номера кредитных и дебетовых карт, а также банковские реквизиты, наряду с другой конфиденциальной деловой информацией и данными, позволяющими установить личность.
Операция началась 3 марта, когда по всему миру было проведено около 100 правоприменительных мер, включая аресты и обыски на дому. Среди них были меры против 37 наиболее активных пользователей LeakBase. Так называемая техническая фаза — изъятие домена и базы данных форума — состоялась на следующий день. По словам Европола, это позволило раскрыть личности многих пользователей, которые считали, что действуют анонимно.
«Связываясь с подозреваемыми через их предпочтительные цифровые платформы, следователи передали четкий сигнал: никто в сети по-настоящему невидим», — заявили в Европоле.
В ведомстве добавили, что правоохранительные органы проактивно продолжают отслеживать цифровые следы для разоблачения дополнительных нарушителей и установления их реальных личностей.
Посылка сильного сигнала киберпреступникам
Однако один эксперт считает, что ИТ-руководителям не стоит питать больших надежд на то, что, используя эти данные, правоохранительные органы смогут предупредить организации о взломе или помочь фирмам-жертвам устранить уязвимости.
«В нынешней атмосфере геополитической турбулентности обмен данными между правоохранительными органами и частным сектором маловероятен», — заявил Илья Колоченко, генеральный директор швейцарской компании Immuniweb. «Более того, во многих юрисдикциях такой обмен данными может быть незаконным, поскольку он почти неизбежно содержит данные, украденные у третьих сторон».
Хотя эта операция «отмечает еще одну замечательную победу правоохранительных органов над глобальной киберпреступностью», добавил он, «практическая польза, вероятно, останется скромной.
«Во-первых, самые опасные и активные кибернаемники и хакерские группы, поддерживаемые государствами, хорошо подготовлены к возможному закрытию таких площадок и практически не оставляют цифровых следов или других компрометирующих улик, которые могли бы помочь их идентифицировать.
«Во-вторых, даже если из-за ошибки или упущения некоторые киберпреступники будут разоблачены, большинство из них пользуются иммунитетом в юрисдикциях, не выдающих преступников. Наконец, у тайных операторов таких площадок почти всегда есть резервный план и План Б, которые быстро возрождаются, подобно гидре, в течение нескольких дней или недель.
«В целом, хотя эта операция посылает сильный сигнал о том, что киберпреступники будут привлечены к ответственности, глобальная киберпреступность продолжится как обычно», — сказал он.
Гарретт Карстенс, старший вице-президент по разведывательным операциям в Intel 471, заявил, что руководителям служб безопасности (CSO) следует рассматривать ликвидацию LeakBase как позитивное развитие событий, но не как решающее или такое, которое само по себе приведет к легко измеримому снижению киберрисков. «Ликвидация может вызвать краткосрочные сбои, разведывательные возможности и трения для преступников», — сказал он, — «однако экосистема, как правило, быстро адаптируется путем миграции на другие форумы или более устойчивые каналы распространения, такие как Telegram».
По его словам, это хорошая новость с тактической точки зрения, но она будет иметь ограниченное стратегическое влияние, если не будет подкреплена последующими действиями, такими как аресты, финансовые санкции или другие формы устойчивого давления.
Карстенс отметил, что для оценки того, имеют ли значение для их организации эта или другие ликвидации, руководители служб информационной безопасности могут отслеживать различные метрики, включая, помимо прочего, недавнюю мошенническую активность, такую как попытки подстановки учетных данных (credential-stuffing) и захвата аккаунтов (account takeover), скорость появления любых известных раскрытых данных на альтернативных форумах/в Telegram после сбоя, а также появление новых фишинговых наборов (phishing kits), новых прокси-сервисов и новых паттернов ботов после ликвидации.
Глобальные усилия
Благодаря международному сотрудничеству за последние годы было ликвидировано несколько криминальных площадок, включая BreachForums и RaidForums.
Правоохранительные органы, участвовавшие в ликвидации на этой неделе, представляли Австралию, Бельгию, Канаду, Германию, Грецию, Косово, Малайзию, Нидерланды, Польшу, Португалию, Румынию, Испанию, Великобританию и США.
Новость о захвате появилась на следующий день после того, как была демонтирована ИТ-инфраструктура, на которой размещалась фишинговая услуга Tycoon2FA.
Ликвидация LeakBase «нарушает работу крупной международной платформы, которую киберпреступники используют для получения и извлечения выгоды из кражи конфиденциальных личных данных, банковских реквизитов и учетных данных», — заявил помощник генерального прокурора США А. Тайсен Дюва. «Эта операция демонстрирует силу Соединенных Штатов и наших международных партнеров, работающих по всему миру для демонтажа критически важного киберпреступного форума».
В своем заявлении Эдвардас Шилерис, глава Европейского центра по борьбе с киберпреступностью Европола, заявил, что операция «показывает, что ни один уголок интернета не находится вне досягаемости международного правосудия. То, что начиналось как теневой форум для кражи данных, теперь демонтировано, а те, кто верил, что может скрыться за анонимностью, идентифицируются и привлекаются к ответственности. Это четкий сигнал киберпреступникам повсюду: если вы торгуете чужой украденной информацией, правоохранительные органы вас найдут и предадут правосудию».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon