FBI apreendeu o BreachForums depois de prender seu dono, Pompompurin, em março
26 de Junho de 2023

O FBI apreendeu hoje o domínio da web clara do famoso fórum de hackers BreachForums (também conhecido como Breached) três meses depois de prender seu proprietário Conor Fitzpatrick (também conhecido como Pompompurin), sob acusações de cibercrime.

Hospedado em Breached vc, o domínio agora mostra uma faixa de apreensão dizendo que o site foi derrubado pelo FBI, pelo Departamento de Saúde e Serviços Humanos, pelo Escritório do Inspetor Geral e pelo Departamento de Justiça com base em um mandado emitido pelo Tribunal Distrital dos EUA para o Distrito Leste da Virgínia.

Outras autoridades policiais em todo o mundo também participaram desta ação, incluindo o Serviço Secreto dos EUA, as Investigações de Segurança Interna, o Departamento de Polícia de Nova York, o Serviço de Inspeção Postal dos EUA, a Polícia Nacional Holandesa, a Polícia Federal Australiana, a Agência Nacional de Crimes do Reino Unido e a Polícia da Escócia.

Como é comum nas mensagens de apreensão de domínio, o FBI exibiu o logotipo do site.

No entanto, de forma única, o FBI adotou uma abordagem não convencional, apresentando também algemas adicionadas ao avatar de Pompompurin na faixa de apreensão.

O BleepingComputer descobriu que o FBI também apreendeu o domínio pompur in, que era o site pessoal de Pompompurin, como parte desta operação.

Embora o domínio da BreachForums na web clara tenha sido apreendido, o equivalente na dark web ainda não exibe a faixa de apreensão, mas em vez disso mostra um erro Nginx "404 Not Found".

Os porta-vozes do FBI e do Departamento de Justiça não estavam disponíveis imediatamente para comentar quando contatados pelo BleepingComputer mais cedo hoje.

Como relatado pela primeira vez pelo DataBreaches, essas apreensões de domínio também levaram à apreensão de um de seus próprios sites usados para relatar violações de dados.

Todos os domínios apreendidos tiveram seus servidores DNS alterados para ns1 seizedservers e ns2 seizedservers, dois servidores de nome usados pelos oficiais de justiça durante as apreensões.

Após a prisão de Fitzpatrick, o Baphomet, o administrador restante, tentou manter o funcionamento dos domínios originais.

No entanto, o Baphomet acreditava que os agentes federais haviam ganhado acesso aos servidores, levando o administrador a fechar o site em 20 de março.

Pouco depois, visitar o domínio exibia mensagens de erro "502 - Bad Gateway", indicando que o site agora estava desligado.

Em junho, após rumores de que o Baphomet havia se associado ao Shiny Hunters, um ator de ameaças notório por inúmeras violações de dados, para relançar o BreachForums em um novo domínio, o antigo domínio Breached começou a exibir uma página padrão 'Bem-vindo ao nginx!'.

Isso indicou que outra pessoa havia ganhado controle sobre os domínios e estava alterando seu conteúdo e configuração.

O Baphomet negou a responsabilidade por essas mudanças.

Ainda mais estranho, mensagens surgiram nos antigos domínios avisando aos usuários que o BreachedForums nunca retornaria e enfatizando que quaisquer fóruns que se alegassem uma nova versão do BreachedForum deveriam ser abordados com cautela.

"Quaisquer fóruns que se aleguem 'Breach' ou 'BreachForums' devem ser usados com cautela.

O BreachForums nunca voltará", dizia uma mensagem postada no domínio Breached vc.

Este alerta foi posteriormente atualizado com supostas mensagens do Baphomet alertando que quaisquer fóruns que se alegassem a nova versão do BreachForums deveriam ser considerados inseguros.

O Baphomet negou que fosse ele quem estava fazendo essas atualizações nos antigos domínios.

Em um conflito crescente entre vários fóruns de hackers, o novo BreachForums de Baphomet e Shiny Hunter foi atingido por sua própria violação de dados, com atores de ameaças liberando o banco de dados roubado do site.

Posteriormente, uma atualização apareceu no antigo domínio Breached, aconselhando a não confiar no clone do BreachForums, pois ele já havia sido hackeado.

Essa mensagem também continha um link para um arquivo SQL para o banco de dados roubado vazado do novo BreachedForums.

Todas essas novas atualizações no site incluíam um comentário HTML oculto afirmando 'Meow', seguido por um smiley chorando:
meow :'(

Embora alguns na comunidade de segurança cibernética tenham achado que isso era uma tentativa do FBI de desencorajar o retorno de violações de dados e fóruns de hackers, essa mensagem também vazou o novo banco de dados do BreachForums, o que não é algo que você normalmente veria o FBI fazendo.

É mais provável que outros atores de ameaças tivessem acesso aos servidores e estivessem postando essas mensagens.

O domínio do antigo fórum começou a exibir a faixa de apreensão do FBI três dias depois.

Durante sua prisão em 15 de março, o proprietário do BreachForums admitiu abertamente, sem um advogado presente e depois de renunciar aos seus direitos constitucionais, que seu nome verdadeiro era Connor Brian Fitzpatrick e que ele era de fato Pompourin, de acordo com uma declaração do agente especial do FBI John Longmire incluída em documentos judiciais.

Ele foi acusado de envolvimento no roubo e venda de informações pessoais sensíveis pertencentes a "milhões de cidadãos americanos e centenas de empresas, organizações e agências governamentais dos EUA e estrangeiras".

Fitzpatrick foi libertado um dia depois sob fiança de $300.000 e estava programado para comparecer no Tribunal do Distrito do Distrito Leste da Virgínia em 24 de março.

No dia de sua acusação, o FBI confirmou em novos documentos judiciais que teve acesso ao banco de dados do BreachForums.

Após a prisão do proprietário, o Baphomet fechou o Breached depois de dizer que acreditava que o FBI tinha acesso aos servidores do fórum.

Pompompurin foi um membro de destaque do RaidForums e fazia parte de uma comunidade de cibercriminosos focada em invadir as redes de empresas e vender ou vazar dados roubados online.

Após a apreensão do RaidForums em 2022, Pompompurin criou o fórum BreachForums (ou Breached), que rapidamente se tornou a maior plataforma para vazamentos de dados, frequentemente usados por grupos de ransomware e outros atores de ameaças para vazar informações roubadas.

É importante observar que os documentos judiciais divulgados após a prisão de Fitzpatrick ainda não revelaram quaisquer acusações contra Pompompurin relacionadas a violações e atividades maliciosas além do BreachForums.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...