La operación conjunta se realizó horas antes de que grupos afiliados a ShinyHunters y Scattered Spider cumplieran su amenaza de publicar información sustraída a 39 empresas que usan Salesforce. La acción también permitió a las autoridades incautar respaldos históricos del foro y advertir futuras acciones legales contra involucrados.
El portal BreachForums, utilizado por grupos criminales para extorsionar a empresas tras el robo de datos de Salesforce, fue incautado por el Federal Bureau of Investigation de los Estados Unidos (FBI) y autoridades policiales francesas, en un operativo coordinado que se concretó horas antes de que los atacantes cumplieran su amenaza de divulgar la información sustraída.
El dominio breachforums.hn fue reemplazado por un banner que anunciaba su incautación y mostraba los emblemas del FBI, el Departamento de Justicia de los Estados Unidos, la Brigada Central de Lucha Contra el Cibercrimen y la Jurisdicción Nacional de la Lucha Contra el Crimen organizado de Francia, marcando así el cierre del sitio que los ciberdelincuentes habían reutilizado para su campaña de extorsión.
El grupo, que opera bajo el nombre “Scattered Lapsus$ Hunters” -una fusión de integrantes de los colectivos ShinyHunters, Scattered Spider y Lapsus$- anunciaron recientemente que divulgarían datos robados a 39 compañías el viernes 10 de octubre a las 23:59. Entre las víctimas listadas en la plataforma figuran empresas como FedEx, Google, Marriott International, Walt Disney Company, Home Depot, Cisco Systems, McDonald’s Corporation, UPS y IKEA, entre otras.
A través de su canal en Telegram, los cibercriminales confirmaron la pérdida del dominio, aunque aseguraron no haber sido arrestados. “En los términos más simples, muy probablemente fuimos hackeados por el Gobierno de los Estados Unidos”, escribieron en un mensaje firmado con la clave PGP de ShinyHunters. “Es una señal clara de que todo lo que estaba bajo nuestro control ha desaparecido”.
Además de la infraestructura web, fueron incautados todos los respaldos de bases de datos de BreachForums desde 2023, lo que, según los propios atacantes, compromete sus historiales y servidores de administración. “La era de los foros ha terminado”, señalaron en el mensaje, anunciando que no volverán a lanzar otra instancia del sitio, al que ahora califican como un “honeypot”.
Pese al golpe, los actores de amenaza aseguraron que su campaña de filtraciones contra Salesforce continuará a través de su sitio en la red Tor, que sigue activo. Estiman haber robado más de mil millones de registros con datos de clientes.
Por su parte, Salesforce afirmó públicamente que no pagará ningún rescate. “No negociaremos ni pagaremos demandas de extorsión”, declaró un portavoz de la compañía. Según el medio norteamericano Bloomberg, Salesforce ya notificó a sus clientes sobre el incidente, el cual está vinculado a una vulneración previa en Salesloft, una aplicación de terceros utilizada en su ecosistema.
Esta acción marca la cuarta ocasión en que el FBI desmantela versiones de BreachForums desde 2023. En operativos anteriores fueron arrestados varios administradores, incluido Conor Fitzpatrick, alias “pompompurin”, quien fue condenado recientemente a tres años de prisión.
El FBI había alertado semanas atrás que la campaña de extorsión comenzó en octubre de 2024 mediante tácticas de ingeniería social, con atacantes haciéndose pasar por personal de TI en centros de atención para obtener accesos iniciales.
Si bien la toma del dominio representa un golpe importante para la operación criminal, el hecho de que el sitio en la dark web siga en funcionamiento mantiene en alerta a las organizaciones afectadas.