Федеральное бюро расследований США официально объявило о конфискации домена Breachforums[.]hn — очередной инкарнации известного хакерского форума, который в 2025 году использовался для публикации «сливов» и шантажа компаний. На площадке ранее была опубликована сводка из 39 организаций, пострадавших от утечек, связанных с экосистемой Salesforce. Правоохранители переключили DNS домена на ns1.fbi.seized.gov и ns2.fbi.seized.gov, разместив баннер о захвате инфраструктуры.
Что известно о операции: DNS-переключение и международное сотрудничество
По заявлению ФБР, операция проводилась совместно с правоохранительными органами Франции и началась еще до активной публикации материалов, связанных с Salesforce. Накануне основной домен стал недоступен, а Tor-зеркало кратковременно отключалось и затем восстановилось. Обращало внимание переключение домена на DNS, которые ранее ассоциировались с инфраструктурой, используемой ФБР, что стало индикатором предстоящей конфискации.
Компрометация бэкапов БД BreachForums: риски для участников
Как сообщает BleepingComputer, участники группировки утверждают, что правоохранители получили доступ к архивам баз данных прошлых версий BreachForums, включая бэкапы с 2023 года и «эскроу»-базы с момента последнего перезапуска. Если эта информация точна, последствия затронут не только операторов, но и покупателей/продавцов, которые рассчитывали на анонимность. Для криминальных форумов «эскроу» — это сервис безопасных сделок, в котором аккумулируются детали транзакций; их раскрытие повышает вероятность деанонимизации и ретроактивного расследования сделок.
«Эра форумов закончилась»: позиция Scattered Lapsus$ Hunters
Группировка, именующая себя Scattered Lapsus$ Hunters (объединение фигурантов Scattered Spider, LAPSUS$ и ShinyHunters), заявила в Telegram, что конфискация была неизбежной. Сообщение подписано PGP-ключом, который, по данным журналистов BleepingComputer, подтвержден как подлинный. Хакеры утверждают, что серверы бэкенда изъяты, перезапуска BreachForums не будет, а любые аналогичные форумы теперь следует рассматривать как «ханипоты» — приманки под контролем правоохранителей.
Связь с утечками Salesforce: масштабы вымогательства
Несмотря на изъятие домена, злоумышленники заявили, что вымогательская кампания, связанная с Salesforce, продолжается. Среди упоминаемых организаций — FedEx, Disney и Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France и KLM, TransUnion, HBO Max, UPS, Chanel, IKEA и другие. По их словам, в заложниках находится до 1 млрд записей с персональными данными, а адресованное Salesforce требование предполагает выплату за предотвращение публикации полной базы.
Контекст: почему такие кампании работают
Комбинация таргетинга на популярные SaaS-платформы и цепочек поставок данных увеличивает «рычаг давления» на компании. Даже частичная утечка метаданных клиентских записей может приводить к вторичным атакам: фишингу, компрометации сессий, злоупотреблению OAuth-токенами и эскалации доступа через интегрированные приложения. Ранее аналогичные международные операции по изъятию инфраструктуры (например, против криминальных рынков и форумов в 2022–2023 годах) демонстрировали устойчивый тренд на проактивные, многосторонние тактики правоохранителей.
Что делать компаниям: приоритетные меры защиты Salesforce и SaaS
Немедленные шаги: ревокация подозрительных OAuth-токенов и Connected Apps, форсированная ротация паролей и секретов интеграций, строгая проверка списков разрешенных IP/сетей для админ-доступа, обязательная MFA/SSO для всех ролей с повышенными привилегиями, включение Shield Event Monitoring (или аналогов) для телеметрии входов и API-вызовов, аудит политик DLP и экспорта данных.
Среднесрочные меры: настройка детектов на аномалии (массовые SOQL-запросы, скачки объемов API, необычные географии), сегментация интеграций «по наименьшим привилегиям», регулярные tabletop-учения по утечкам PII, договоренности с провайдерами IR и юридической поддержкой, проверка планов уведомления регуляторов и клиентов.
Пока правоохранители продолжают давление на инфраструктуру киберпреступников, организациям важно действовать исходя из предпосылки «компрометация возможна» — оперативно снижать экспозицию данных в SaaS, усиливать мониторинг и готовность к инцидентам. Даже если отдельные форумы исчезают, экосистема угроз смещается в приватные каналы и федеративные мессенджеры; значит, устойчивость процессов и минимизация избыточного доступа становятся ключевыми факторами киберустойчивости.
