O bazar criminoso online BreachForums ressurgiu meramente duas semanas após uma ação coordenada liderada pelos EUA ter desmantelado e apreendido o controle de sua infraestrutura.

Pesquisadores de cibersegurança e rastreadores da dark web Brett Callow, Dark Web Informer e FalconFeeds revelaram o retorno online do site em breachforums[.]st – um dos sites desmantelados – por um usuário chamado Caçadores Brilhantes, que desde então ofereceu à venda um banco de dados de 1,3 TB contendo detalhes de supostamente 560 milhões de clientes da Ticketmaster por US$ 500.000.

Isso inclui nomes completos, endereços, endereços de e-mail, números de telefone, vendas de ingressos e informações de eventos, e os últimos quatro dígitos de cartões de crédito e suas datas de validade associadas.

No entanto, em uma reviravolta interessante, os visitantes do site agora estão sendo solicitados a se inscrever para uma conta a fim de visualizar o conteúdo.

O desenvolvimento segue uma ação conjunta de aplicação da lei que apreendeu todos os novos domínios pertencentes ao BreachForums (breachforums[.]st/.cx/.is/.vc), enquanto também indicava que os administradores do site Baphomet e Caçadores Brilhantes podem ter sido presos.

A operação também resultou na apreensão do canal Telegram operado por Baphomet, com o Federal Bureau of Investigation (FBI) dos EUA observando que está revisando os dados dos bastidores do site.

Atualmente não está claro se o(s) indivíduo(s) usando a persona Caçadores Brilhantes no BreachForums é o hacker original Caçadores Brilhantes. Também é desconhecido o modo como eles vieram a possuir um dos sites da clearnet apreendidos pelo FBI, embora o Hackread.com tenha relatado que eles recuperaram o domínio do registrador de domínios NiceNIC.

No entanto, a possibilidade de que possa ser uma armadilha não foi perdida entre os membros da comunidade de cibersegurança.

O BreachForums surgiu em março de 2022 após o fechamento do RaidForums e a prisão de seu proprietário “Omnipotente”. Foi desmantelado em meados de junho de 2023, após o que foi revivido por Baphomet e Caçadores Brilhantes para lançar um novo site com o mesmo nome.

Tanto o Departamento de Justiça dos EUA (DoJ) quanto o FBI ainda não comentaram sobre a operação ou o reaparecimento do fórum.

Ticketmaster Confirma Violação

A empresa-mãe do Ticketmaster, Live Nation, confirmou em 31 de maio de 2024, que sofreu uma violação após seus dados serem roubados de um ambiente de banco de dados em nuvem de terceiros. Embora o nome do provedor não tenha sido divulgado, suspeita-se que seja Snowflake, com base em um relatório publicado pela Hudson Rock.

A empresa israelense de cibersegurança disse que as credenciais do ServiceNow de um funcionário da Snowflake foram roubadas através de uma campanha do Lumma Stealer em 5 de outubro de 2023, permitindo que os atores de ameaça obtivessem acesso à conta ServiceNow do funcionário de uma forma que contornava as proteções de autenticação em duas etapas (2FA).

“As infecções de info-roubo como uma tendência de crimes cibernéticos aumentaram incríveis 6.000% desde 2018, posicionando-as como o principal vetor de ataque inicial usado por atores de ameaças para infiltrar organizações e executar ciberataques, incluindo ransomware, violações de dados, apropriações de contas e espionagem corporativa”, disse a Hudson Rock.

A empresa afirmou ainda que as credenciais foram usadas pelos atores de ameaças por trás do ataque para invadir outras empresas, incluindo Santander. No início deste mês, o banco confirmou que havia sido comprometido e que afetou clientes do Santander no Chile, Espanha e Uruguai.

Snowflake desde então reconheceu que está “investigando um aumento na atividade de ameaças cibernéticas direcionadas a algumas contas de nossos clientes” e que teve conhecimento de acesso não autorizado em 23 de maio de 2024. A atividade maliciosa, segundo eles, começou por volta de meados de abril de 2024.

A empresa disse também que notificou todos os clientes, instando-os a revisar suas configurações de conta e ativar a autenticação em duas etapas para proteger seus dados. No entanto, refutou as alegações de que a atividade foi causada por alguma vulnerabilidade, configuração incorreta ou violação do produto.

Dito isso, a Snowflake observou que a conta de demonstração de um ex-funcionário foi acessada através de credenciais roubadas, mas disse que não continha dados sensíveis. E nem está conectado a quaisquer sistemas de produção ou corporativos, acrescentou.

(A história foi atualizada após a publicação para incluir informações sobre a violação do Ticketmaster.)