
Parte I: Raid y Breach
Los inicios: Raidforums
Aproximadamente en 2015 es cuando surge una de las comunidades más famosas dentro del cibercrimen de habla inglesa... Raidforums. Este se consideraba "el foro mundial de delitos cibernéticos más importante que ha existido en los últimos años". Tenía más de medio millón de usuarios y contenía millones de datos en sus publicaciones.
Este estuvo activo hasta 2022, siendo popular por facilitar leaks de datos, así como diferentes herramientas, documentación sobre la explotación de vulnerabilidades, venta de accesos, etc. El administrador principal conocido resultó ser un joven portugués de 21 años: Diogo Santos Coelho, bajo el alias de Omnipotent. Pero... si hacemos cuentas, tenía 21 años en 2022, en su detención, pero el foro surgió en 2015... cuando él tenía 14 años.
Rápidamente, por su afluencia de gente y por el rápido posicionamiento que logró dentro del e-crime, el FBI le puso una diana en la espalda. Desmantelar el foro y su infraestructura es el resultado de un año de planificación entre las autoridades encargadas del caso, llamado Operación Torniquete, y de la colaboración entre Estados Unidos, Reino Unido, Suecia, Portugal y Rumania.
Coelho aterrizó en el radar de las autoridades estadounidenses en junio de 2018, cuando intentó ingresar a Estados Unidos por el Aeropuerto Internacional Hartsfield-Jackson de Atlanta. El gobierno obtuvo una orden para registrar los dispositivos electrónicos que Coelho tenía en su equipaje y encontraron mensajes de texto, archivos y correos electrónicos que demostraban que era el administrador de RaidForums Omnipotent.
Finalmente, el 27 de febrero de 2022, el FBI tomó el control del foro, aunque no se hizo oficial hasta el 12 de abril, cuando se colgó el famoso cartel de "This Domain Has Been Seized" que todos conocemos.
En esta etapa existió una gran especulación, ya que a los usuarios se les redirigía a la página de autenticación, por lo que muchos advertían que era una maniobra, conocida como honeypot, que estaba realizando el FBI para identificar a los miembros más relevantes. Esta información fue colgada en el canal de Telegram por uno de los moderadores del foro, Jaw. Y esto, influye mucho en el lore actual, sigue leyendo para enterarte.
Fue el 31 de enero de 2022 cuando Omnipotent (aka Diogo, Downloading, Shiza, Kevin Maradona), junto a otros dos cuya identidad no trascendió, fue detenido en Reino Unido. Se tramitó su extradición para ser juzgado en Estados Unidos, donde se enfrentaba a 6 cargos criminales. No parece haber información adicional sobre el juicio hasta la fecha, por lo que poco se sabe de Diogo. La acusación la podéis encontrar aquí.
Hubo un segundo arresto en marzo que no trascendió demasiado, en este caso Croydon, otro de los posibles administradores, al que se le incautó dinero en efectivo y en criptomonedas, pero fue puesto en libertad bajo investigación.
En noviembre de ese mismo año, fue arrestado Databox, otro miembro de unos 25 años, llamado Erkan Sezgin, que fue perseguido por las actividades que llevaba a cabo en el foro más que por ser administrador del mismo. Puedes leer información sobre el juicio de Databox aquí.
El lanzamiento de BreachForums
Con la necesidad que quedó al descubierto tras los rumores y la especulación de que el FBI había tomado RaidForums y tanta gente que no sabía dónde ir a continuar con sus negocios de forma segura, Pompompurin decide tomar el relevo de Omnipotent y formar su propia comunidad.
Es ahí cuando nace Breachforums. Sucedió un 16 de marzo de 2022, un poco antes de la caída oficial de su homólogo. Pom aseguró que iba a transferir las bases de datos de RaidForums a Breach y que iba a mejorar la seguridad para que no volviese a pasar un incidente similar.
Este rápidamente se hizo con la escena y se colocó como referencia de los foros de habla inglesa. Albergó a muchos actores relevantes, como IntelBroker (del que puedes leer más aquí), Umbreon, Ddarknotevil o Dawnofevil, entre otros.
Contaban con numerosos dominios como backup, tenían su dominio como servicio oculto, la administración y los moderadores funcionaban de manera correcta, lanzaron su canal de Telegram (mítico Jacuzzi) al estilo de Raid... Todo parecía ir bien... Hasta el 15 de marzo de 2023, un año después de su apertura.
La detención de Pompompurin
Conor Brian Fitzpatrick fue arrestado en Peekskill, Nueva York, mediante una curiosa técnica de ingeniería social... Que un cartero llamase a su puerta y preguntase por él para un paquete y así éste pudiera afirmar su identidad, saliendo inmediatamente los agentes de los alrededores, que previamente se habían escondido, para detenerlo. Fue acusado de su participación en el robo y venta de información personal confidencial perteneciente a millones de ciudadanos estadounidenses.
Fue un mal OPSEC lo que permitió su detención, algo que suele ser habitual. En este artículo se encuentran muy buenos detalles de los fallos de OPSEC de Pompompurin y recomendamos su lectura.
En primer lugar, parece que fue condenado tanto por delitos de fraude en los accesos ilegítimos, así como su venta, y para sorpresa de toda la comunidad, también por posesión de pornografía infantil. Se piden entre 40 y 49 años de prisión para Pom. La acusación para sentencia puede ser leída aquí.
Posteriormente, en enero de 2024, se conoce la noticia de que vuelve a ser arrestado por violar su acuerdo de fianza que se había establecido. Por lo visto alguien delató a Pom estudiando sus movimientos en plataformas de mensajería (suponemos que Telegram), así como medios sociales. Por lo tanto, vuelve a tener una vista judicial donde se le pide un total de 15 años de prisión, pero termina siendo condenado a 2 años de arresto domiciliario y 20 años de libertad vigilada.
Esta reducción de condena parece ser fruto de que Pompompurin accedió a colaborar con el FBI en la detención de más miembros del foro que pudieran ser interesantes para EE.UU. Esto puso sobreaviso a la comunidad y muchos lo tomaron como una señal para iniciar su retirada o mantener un perfil bajo. La prueba de esto puedes leerla aquí.
Baphomet: El designado
Tras la detención de Pompompurin, entra un nuevo actor (aunque era un viejo conocido) en escena, Baphomet. Este hace una publicación oficial en el foro donde anuncia la detención de Pom y asegura que va a llevar la carta de administrar el foro, aunque en primer lugar tendría que suspender todos los accesos de Pom y revisar la seguridad del foro, de nuevo.
Días después, esta decisión se anula, ya que se da a conocer que el FBI había tenido acceso a sus dispositivos, por lo que Baphomet decide tirarla abajo. Además, deja una advertencia... Que utilizar foros que dicen ser Breach a partir de ese momento (31 de marzo de 2023) dejaría de ser seguro para nadie.
Sin embargo, en junio de 2023, en su canal oficial de Telegram vuelve a colgar la noticia de que está de vuelta en el foro, que han estado trabajando en trasladar la infraestructura y que todo sigue su curso normal, con Baph como administrador de nuevo.
ShinyHunters & BreachForums 2.0
El 12 de junio, varios meses después del arresto de Pompompurin (aka Conor), se lanza la nueva versión de BreachForums conocida como 2.0. Esta vez es llevada por el administrador ShinyHunters adicionalmente, junto con Baphomet. Curiosamente, y como pasó anteriormente con la versión 1.0 de Breachforums, este se lanzó apenas unos días antes de que el dominio de Pom fuera capturado por el FBI, el día 23 de junio.
La gente, una vez más, vuelve a festejar que el foro está abierto de nuevo y la comunidad empieza a reunirse otra vez. Aquí surge una de las épocas doradas del foro, donde hay mucho movimiento, una sensación de impunidad perceptible y un destacado miembro que se hace uno de los protagonistas indiscutibles de esta nueva era: IntelBroker y Sanggiero. Pero, una vez más, la aparente calma solo estaba avisando de la tormenta.
En el transcurso del año siguiente tuvieron varios incidentes relacionados con proveedores, viéndose obligados a cambiar de dominio, y también con la creación de perfiles falsos que se hacían pasar por algunos de los actores más relevantes, intentando estafar usuarios y creando caos.
Uno de los post donde se generó bastante polémica fue cuando el actor IntelBroker, el 10 de mayo, publicó una brecha de datos de, nada más y nada menos, que Europol. El actor describió los archivos como FOUO y que contienen datos clasificados. También afirma haber accedido a EC3 SPACE (Plataforma segura para expertos acreditados en ciberdelincuencia), una de las comunidades del portal EPE, que alberga cientos de documentos relacionados con la ciberdelincuencia y es utilizada por más de 6.000 expertos acreditados en ciberdelincuencia de todo el mundo. Y a su vez también mencionaba a SIRIUS, que se usa para acceder a pruebas electrónicas de investigadores y procedimientos penales. En esta publicación se advertía que solo iba a ser vendida a gente con buena reputación y que se aceptaban ofertas por privado, con garantía de fondos, por lo que IntelBroker era consciente de lo que tenía entre manos.
La agencia policial de la Unión Europea confirmó que era conocedora del incidente y que estaban trabajando en ello, lo que confirmaba la veracidad del post de IntelBroker.
La caída de la 2.0 y el arresto de Baphomet
Después de todo lo sucecido con IntelBroker... El 15 de mayo de 2024, se vuelve a colgar el famoso cartel de "Seized" en el foro, siendo los usuarios previamente avisados mediante un mensaje de Telegram en el canal del foro, The Jacuzzi. Este fue colgado por la cuenta BaphometOfficial, pero avisaba que estaba bajo el control del FBI. Horas después, se da un trágico aviso para la comunidad: Baphomet ha sido arrestado.
Esto produjo la incautación de la infraestructura por parte del FBI y creó un poco de duda de si continuar adelante con este proyecto o no. Por unos días, se crearon muchos canales de Telegram y post dilucidando del posible futuro de Breachforums.
Muchos usuarios culpaban a IntelBroker de haber creado razones personales para que el FBI se viera obligado a actuar al vender públicamente la información obtenida fruto del ataque a la policía europea, Europol. Sin embargo, es lógico pensar que, si bien puede que este hecho precipitara la acción, una operación como esta debía estar gestándose durante bastante más tiempo, ya que apenas habían pasado unos días entre un hecho y otro.
El nuevo resurgir
Pocos días después, recuperan el dominio incautado por el FBI y cuelgan un nuevo acceso a un canal de Telegram: Jacuzzi 2.0. En este podemos ver nuevas personalidades que apuntan como administradores: Aegis, Hex Shell y Wonka. Actualmente, se sabe muy poco de ellos, pero están trabajando duro para volver a levantar la marca BreachForums de nuevo, teniendo actualmente un .onion disponible con el foro operativo, con una copia de seguridad restaurada del 8 de mayo, perdiendo solo algunos días previos a la tragedia.
Mientras tanto se publica un post donde uno de los usuarios afirma que cree que la cuenta de Baphomet ha estado incautada por el FBI al menos durante 3 meses, ya que le había hecho preguntas extrañas, siendo bastante insistentes, algo que no era propio de él, sobre unos servidores que estaban pensados para albergar un nuevo foro, concretamente, SecretForums.
Además, este actor argumenta que, cuando lo dijo en Jacuzzi 2.0, el nuevo canal de Telegram de reciente creación, uno de los administradores borró su mensaje y lo bloqueó, lo que da a entender que el nuevo grupo podría volver a ser un honeypot del FBI. No es probable confirmar la veracidad de esto pero os arrojamos algunos datos que podrían sustentar esta teoría.
Hay que mencionar que todos los usuarios que quieran acceder al foro tienen que pasar por la pantalla de login... ¿Os suena esta situación? Pues bien, además, los registros se han encontrado cerrados hasta, literalmente, ayer, y secciones que antes se podían ver de forma pública ahora parece que requieren de login para entrar... Está siendo muy discutido entre los diferentes usuarios, ya que lo ven como una posible maniobra para conseguir datos por parte de las autoridades que todavía podrían tener el control del foro.
Así que, actualmente, parece que los actores se encuentran todavía recelosos, ya que la actividad del foro se encuentra bastante reducida a día de hoy. Además, parece ser que el sistema de recarga de créditos no funciona y tampoco lo hace la función de desbloquear contenido usando créditos anteriores. Por lo tanto, si no funciona la compra/venta ¿Qué sentido tiene el foro?
Y es por todo esto por lo que muchos actores piensan que es un honeypot del FBI. Pensamiento, por otra parte, que también es recurrente y que ya ha sucedido con anterioridad. Cuando se dan detenciones suelen venir acompañadas de una época oscura donde la desconfianza se incrementa al máximo y todo el mundo sospecha de todo el mundo.
Sin embargo, por las experiencias anteriores, es altamente probable que esto cambie en cuestión de tiempo y que los más desprevenidos o nuevos usuarios comiencen a intentar darle nueva vida al foro, siempre y cuando se recupere el sistema de pagos. También es muy posible que lo incauten de nuevo y que un nuevo administrador sea detenido en el próximo año, como ha venido sucediendo.
Un repunte en la actividad
A fecha de ayer, 29 de mayo, observamos un aumento de la actividad de usuarios en el foro, marcando un antes y un después muy pronunciado tras el nuevo levantamiento del dominio en Clearweb. Antes de estar de nuevo operativo, la media de usuarios concurrentes apenas alcanzaba los 60 (entre invitados y miembros). Sin embargo, una vez estuvo operativo, observamos cómo la comunidad se establecía entre los 1,000 y los 1,200 usuarios en línea.
¿Qué implicaciones tiene esto? La primera, más obvia, es que la gran mayoría del público del foro prefiere utilizar la versión Clearweb que el servicio oculto a través de TOR. La segunda, menos probable a nuestro parecer que la primera, es que ha vuelto el interés por parte de la comunidad. No obstante, esto no podría haber producido estos picos tan diferenciales, pues ahora mismo, Breachforums es sospechoso de ser el nuevo honeypot del FBI.
¿Qué tiene el FBI en la manga?
Hay mucho revuelo sobre la autenticidad del foro ahora mismo. Ningún actor se fía del FBI y es normal. Pero...¿Qué hicieron realmente las autoridades cuando tiraron abajo el foro?
El 16 de mayo, un día después del golpe, Breachforums vuelve a la carga. ¿Cómo lo hicieron? Pregunta acertada, pero en el orden equivocado. Lo primero que hay que preguntarse es: ¿Qué hizo realmente el FBI para tomar el control en primera instancia?
Primero, un poco de teoría sobre cómo funcionan los dominios y los hosting, muy breve, prometido, solo para que comprendamos bien las diferencias:
Dominio: Es una dirección web utilizada para acceder a un sitio web. En este caso el dominio es Breachforums.st. Los dominios son gestionados por los registradores y pueden apuntar a diferentes servidores/hosting a través de registros DNS.
Hosting: Es el servicio que proporciona un espacio en un servidor, normalmente, en la nube. Es donde reside físicamente Breachforums.st y donde, usualmente, está el Backend, ¿qué es el backend? La maquinaria que se mueve por detrás para que el sitio web funcione, como las bases de datos de usuarios, el código, etc...
Con esto claro, volvamos a lo que pudo haber ocurrido:
Según alegó el FBI en la captura que se mostraba la incautación, tomaron el control del dominio y de todo el Backend, que comenzarían a analizar poco a poco. Es decir, según ellos, tomaron el control tanto del dominio (a fuerza del registrador) y del servidor (hosting).
Shiny pudo haber recuperado el dominio porque el registrador, NiceNIC, le devolvió el control. ¿Cómo? Hay rumores que apuntan a que el registrador, por causas desconocidas, suspendió el control que el FBI tenía sobre el dominio y Shiny aprovechó entonces para iniciar una transferencia y mover el dominio a otro registrador, con el fin de zafarse un poco más del chaparrón que había en ese momento sobre el foro.
¿Entonces, el FBI tuvo visibilidad sobre el backend? No está probado. Si tuvo solo acceso al dominio mediante el registrador, no hay evidencias de que pudieran haberle echado el guante también a los datos.
Una vez volvió a estar operativa la comunidad, esta vez sin dominio en Clearweb, todo empezó a rodar de nuevo, pero faltaban datos, pues parece ser que Breach volvió al estado en el que se encontraba el 8 de mayo, una semana antes del incidente. Se habían perdido 6 días de datos, entre los que se incluye... El famoso post de Europol de IntelBroker.
¿Pero si el FBI no tuvo acceso al backend por qué tuvieron que restaurar una copia de seguridad de una semana atrás? No se sabe, pero tenemos algunas hipótesis: puede que quisieran hacer una pequeña limpieza con un margen corto de tiempo antes del incidente con el FBI, puede que se realizasen cambios en el servidor que afectasen a los datos, o puede que los federales no mintieran cuando dijeron que tenían acceso al backend...
Y también hay otra teoría más... Puede que tuvieran acceso a todo, desde hace mucho tiempo, y esto solo haya sido una maniobra para establecer un honeypot con el fin de poder vigilar a aquellos que tengan algo lo suficientemente "gordo" entre manos como para volver a Breachforums a buscarlo, con el riesgo que actualmente parece que esto implica.
Independientemente de estas hipótesis y teorías, no podemos saber la verdad a corto plazo. Pero estaremos ahí, vigilantes, buscándola.
Conclusiones
Si revisamos el patrón que ha habido entre Raidforums y Breachforums, tanto en sus caídas como en la detención de sus administradores, podemos observar que existen ciertas similitudes y que algunos de los hechos se repiten, sino de la misma forma, de otras muy parecidas.
Existe una sospecha fundamentada en la comunidad de que, en al menos en dos ocasiones, Breach y Raid han sido el honeypot particular del FBI. Nos hacemos muchas preguntas sobre esto, ya que como posibilidad, no es descabellada. Al final, ¿No es una forma de controlar el cibercrimen?
Lo que también nos llama la atención esta vez, es que hemos observado una dispersión mucho mayor de los actores serios, habiendo muchas migraciones a otros foros, de menor renombre o incluso una escalada a foros más serios, como XSS, algo que no pasó la otra vez. Incluso hemos observado posibles iniciativas de crear nuevos espacios, pero no parece que hayan llegado a nada por ahora.
Por lo tanto, parece que la marca de BreachForums ha perdido parte de su credibilidad y confianza, lo que podría ser también una maniobra dentro de una PSYOPS (Otro día quizá profundicemos más en este término, desconocido para muchos analistas) llevada a cabo de forma magistral por parte de las diferentes autoridades que están trabajando en frenar este tipo de espacios que fomentan la ilegalidad.
Pero... ¿Qué ha sido de IntelBroker y por qué sigue sin aparecer?