Em uma operação coordenada contra o cibercrime transnacional, autoridades dos Estados Unidos e da França anunciaram a apreensão do domínio do BreachForums, conhecido site de vazamento e venda de dados roubados. A ação ocorreu poucas horas antes de o grupo hacker Scattered Spider e seus afiliados planejarem a divulgação de dados supostamente roubados de clientes da Salesforce.
O domínio breakforums.hn foi substituído por um banner oficial exibindo os emblemas do FBI, do Departamento de Justiça dos EUA e das agências francesas Brigade Centrale de Lutte Contre la Cybercriminalité e Juridiction Nationale de lutte contre la Criminalité Organisée.
A operação veio no auge de uma campanha de extorsão em andamento. O Scattered Spider, também identificado como Scattered Lapsus$ Hunters, havia reativado o fórum para pressionar aproximadamente 39 clientes corporativos da Salesforce, ameaçando divulgar informações roubadas na noite de sexta-feira, às 23h59 (horário do leste dos EUA). O grupo alega ter subtraído cerca de 1 bilhão de registros de bancos de dados de grandes empresas que utilizam a Salesforce.
Em comunicado no Telegram, os hackers confirmaram a perda do domínio principal, mas negaram prisões de membros do grupo. Eles suspeitam que o FBI e outras autoridades não apenas apreenderam o domínio, mas também destruíram os servidores de back-end. Apesar disso, afirmam que a versão do site na rede Tor foi restaurada e minimizaram o impacto da ação, mantendo planos de divulgar os dados roubados.
A Salesforce reafirmou sua política de não negociar com hackers, informando que não pagará o resgate exigido e que as tentativas de extorsão estão vinculadas a incidentes anteriores com aplicativos de terceiros, como o Salesloft. Até o momento, o Google é a única empresa do grupo de 39 citadas que confirmou publicamente o roubo de dados.
O FBI havia emitido alerta três semanas antes sobre a campanha, que começou em outubro de 2024, utilizando ataques de engenharia social, nos quais os invasores se passavam por funcionários de TI para acessar as organizações-alvo.
Esta é a quarta derrubada do BreachForums pelo FBI. A plataforma original foi fechada em 2023, com a prisão de seu suposto administrador, Conor Fitzpatrick, cuja sentença foi recentemente revisada para três anos. Desde então, tentativas de reviver o site têm sido combatidas por autoridades, incluindo prisões na França em junho. O Departamento de Justiça dos EUA estima que o BreachForums tinha mais de 340.000 membros e facilitou o acesso a informações sensíveis de milhões de cidadãos.
