El día 12 de Abril de 2022, el Departamento de Justicia de los Estados Unidos confirma que logró apoderarse de uno de los foros más populares de filtración y venta de datos por diferentes actores de amenazas, RaidForums. Y también se ha dado a conocer que han detenido a su administrador, Diogo Santos Coelho, de 21 años, oriundo de Portugal.

Imagen: Departamento de Justicia de Estados Unidos.
RaidForums es uno de los foros y mercados de bases de datos más conocidos en la actualidad. Con más de 445.000 usuarios registrados en la plataforma, que participan en temas de discusión sobre tecnología, filtraciones de bases de datos y de actividades de dudosa ética. Creado en el año 2016, la mayoría de los usuarios de este foro discuten diferentes temas a lo largo de todas las fases de sus operaciones, desde la Intrusión inicial en los servidores, hasta la obtención de datos y su venta al mejor postor.
Actualmente, toda persona que intente acceder a la web, se encontrará con el clásico Banner de que el sitio ha sido tomado por las autoridades del Orden y Seguridad. Por lo visto en la Imagen, en este operativo ha participado el FBI, el Servicio Secreto, el Departamento de Justicia, junto a la Policías de Suecia, Europol, la NCA, la Policía de Portugal y la División de Investigación Criminal del Servicio de Impuestos Internos de Estados Unidos.
También se da a conocer de manera oficial que el foro se ha encontrado bajo el poder de las autoridades policiales desde el mes de Febrero del presente año, confirmando las sospechas de que el foro habría sido tomado por el FBI. Para ser más exactos, el 27 de febrero de 2022, los servidores DNS para RaidForums se cambiaron repentinamente a los siguientes servidores de CloudFlare:
jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com
Como estos servidores DNS también han sido utilizados anteriormente con otros operativos contra sitios incautados por la policía, incluidos weleakinfo.com y doublevpn.com, los investigadores y usuarios del foro acrecentaron más las sospechas de que el dominio fue incautado por el FBI.

Imagen: CronUp Ciberseguridad
En RaidForums, Diogo Coelho era conocido como «Omnipotente», pero también tenia otros nicknames, cómo «Downloading», «Shiza» y «Kevin Maradona». Además de administrar el sitio durante estos 6 años, también se tiene registros de que ha vendido bases de datos dentro del mismo sitio web. Coelho fue arrestado el día 31 de enero de 2022, en Inglaterra.
Además, se reveló una acusación de 6 cargos contra Coelho en el Distrito Este de Virginia, acusándolo de conspiración, fraude de dispositivo de acceso y robo de identidad agravado en relación con su papel como administrador principal de RaidForums. Según la acusación formal, entre el 1 de enero de 2015 y el 31 de enero de 2022, aproximadamente, Coelho supuestamente controló y se desempeñó como administrador principal de RaidForums, que operaba con la ayuda de otros administradores de sitios web. Como administradores, se alega que Coelho y sus cómplices diseñaron y administraron el software y la infraestructura informática de la plataforma, establecieron y aplicaron reglas para sus usuarios, y crearon y administraron secciones del sitio web dedicadas a promover la compra y venta de contrabando.
Según la acusación, Coelho también vendió personalmente datos robados en la plataforma y facilitó directamente transacciones ilícitas al operar un servicio de «intermediario oficial» basado en tarifas. Para el servicio Official Middleman, Coelho supuestamente actuó como un intermediario de confianza entre los miembros de RaidForums que buscaban comprar y vender los datos de contrabando en la plataforma, incluidos los datos obtenidos de manera ilegal. En particular, para crear confianza entre las partes que realizan transacciones, el servicio de intermediario oficial permitió a los compradores y vendedores verificar los medios de pago y los archivos que se venden antes de ejecutar la transacción.
Más Información
https://www.justice.gov/opa/press-release/file/1493586/download

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence