Hacer este post me ha llevado poco más de 2 días, por motivos de que no estaba seguro de sí hacerlo o no, pero bueno al final me he decidido a hacerlo.
MINI HISTORIA
FUNDADOR Y ADMINISTRADOR
Imagen: Departamento de Justicia de Estados Unidos.
CIERRE DE RAIDFORUMS
FBI (PHISHING)
ACTUALIDAD
Las autoridades de los siguientes países han participado en esta investigación:
Fuente y archivo del caso:
United States Leads Seizure of One of the World’s Largest Hacker Forums and Arrests Administrator
Archivo Diogo Santos Coelho
MINI HISTORIA
Lanzado en 2015, RaidForums era considerado uno de los mayores foros de ciberdelincuentes del mundo con una comunidad de más de medio millón de usuarios. Este mercado se había hecho famoso por vender el acceso a filtraciones de bases de datos de alto nivel pertenecientes a empresas de todos los sectores. Éstas contenían información de millones de tarjetas de crédito, números de cuentas bancarias e información de rutas, así como los nombres de usuario y las contraseñas asociadas necesarias para acceder a las cuentas en línea.
Antes de convertirse en uno de los foros favoritos de los ciberdelincuentes para vender datos robados, RaidForums tuvo un comienzo más humilde y se utilizó para organizar varios tipos de acoso electrónico, que incluían desde aplastar objetivos (haciendo informes falsos que conducían a la intervención de la policía) a «ataques», que el Departamento de Justicia describe como «publicar o enviar un volumen abrumador de contactos al medio de comunicación en línea de una víctima».
Antes de convertirse en uno de los foros favoritos de los ciberdelincuentes para vender datos robados, RaidForums tuvo un comienzo más humilde y se utilizó para organizar varios tipos de acoso electrónico, que incluían desde aplastar objetivos (haciendo informes falsos que conducían a la intervención de la policía) a «ataques», que el Departamento de Justicia describe como «publicar o enviar un volumen abrumador de contactos al medio de comunicación en línea de una víctima».
FUNDADOR Y ADMINISTRADOR
Diogo Santos Coelho, oriundo de Portugal, fundador y administrador de RaidForums era conocido como «Omnipotente», pero también tenia otros nicknames, cómo «Downloading», «Shiza» y «Kevin Maradona». El Departamento de Justicia de EE. UU. reconoce en su comunicado que Coelho tiene 21 años, por lo que únicamente tenía 14 años cuando lanzó RaidForums en 2015.
Cedula de Identidad de Diogo Santos Coelho, Administrador de RaidForums.
Imagen: Departamento de Justicia de Estados Unidos.
Coelho mantiene una acusación de 6 cargos en el Distrito Este de Virginia, por conspiración, fraude de dispositivo de acceso y robo de identidad agravado en relación con su papel como administrador principal de RaidForums. Según la acusación formal, entre el 1 de enero de 2015 y el 31 de enero de 2022, aproximadamente, Coelho supuestamente controló y se desempeñó como administrador principal de RaidForums, que operaba con la ayuda de otros administradores de sitios web. Como administradores, se alega que Coelho y sus cómplices diseñaron y administraron el software y la infraestructura informática de la plataforma, establecieron y aplicaron reglas para sus usuarios, y crearon y administraron secciones del sitio web dedicadas a promover la compra y venta de contrabando.
También se acusa a Coelho de vender personalmente datos robados en la plataforma y facilitar directamente transacciones ilícitas al operar un servicio de Official Middleman basado en tarifas, participando como un intermediario de confianza entre los miembros de RaidForums que buscaban comprar y vender los datos de contrabando en la plataforma.
Coelho fue arrestado el día 31 de enero de 2022, en Inglaterra (Reino Unido) y ha estado bajo custodia a la espera de la resolución de su proceso de extradición.
También se acusa a Coelho de vender personalmente datos robados en la plataforma y facilitar directamente transacciones ilícitas al operar un servicio de Official Middleman basado en tarifas, participando como un intermediario de confianza entre los miembros de RaidForums que buscaban comprar y vender los datos de contrabando en la plataforma.
Coelho fue arrestado el día 31 de enero de 2022, en Inglaterra (Reino Unido) y ha estado bajo custodia a la espera de la resolución de su proceso de extradición.
CIERRE DE RAIDFORUMS
El mercado ilegal «RaidForums» ha sido cerrado y su infraestructura incautada como resultado de la operación TOURNIQUET, un complejo esfuerzo policial coordinado por Europol para apoyar las investigaciones independientes de Estados Unidos, Reino Unido, Suecia, Portugal y Rumanía.
El administrador del foro y dos de sus cómplices también han sido detenidos y se han incautado tres dominios que alojan RaidForums: «raidforums.com», «Rf.ws» y «Raid.Lol». En el grupo oficial de Telegram algunos de sus administradores durante los meses de febrero y marzo comenzaron a dar consejos y despejar dudas acerca del destino del foro. Actualmente las cuentas de los administradores se encuentran eliminadas.
El administrador del foro y dos de sus cómplices también han sido detenidos y se han incautado tres dominios que alojan RaidForums: «raidforums.com», «Rf.ws» y «Raid.Lol». En el grupo oficial de Telegram algunos de sus administradores durante los meses de febrero y marzo comenzaron a dar consejos y despejar dudas acerca del destino del foro. Actualmente las cuentas de los administradores se encuentran eliminadas.
FBI (PHISHING)
También se da a conocer de manera oficial que el foro se ha encontrado bajo el poder de las autoridades policiales desde el mes de Febrero del presente año, para ser más exactos, el 27 de febrero de 2022, los servidores DNS para RaidForums se cambiaron repentinamente a los siguientes servidores de CloudFlare:
- jocelyn.ns.cloudflare.com
- plato.ns.cloudflare.com
Como estos servidores DNS también han sido utilizados anteriormente con otros operativos contra sitios incautados por la policía, incluidos weleakinfo.com y doublevpn.com, los investigadores y usuarios del foro acrecentaron más las sospechas de que el dominio fue incautado por el FBI.
Cuando los usuarios ingresaban sus credenciales en el portal, aparecía un mensaje de error que les informa que han sido prohibidos en el sitio. Esta es una indicación de que la entidad responsable de apoderarse del sitio está potencialmente recopilando credenciales y registrando información técnica de los visitantes como las direcciones IP, además de haber quitado las opciones restablecimiento de contraseña.
Cuando los usuarios ingresaban sus credenciales en el portal, aparecía un mensaje de error que les informa que han sido prohibidos en el sitio. Esta es una indicación de que la entidad responsable de apoderarse del sitio está potencialmente recopilando credenciales y registrando información técnica de los visitantes como las direcciones IP, además de haber quitado las opciones restablecimiento de contraseña.
ACTUALIDAD
Actualmente, toda persona que intente acceder a la web, se encontrará con el clásico Banner de que el sitio ha sido tomado por las autoridades del Orden y Seguridad. Por lo visto en la Imagen, en este operativo ha participado el FBI, el Servicio Secreto, el Departamento de Justicia, junto a la Policías de Suecia, Europol, la NCA, la Policía de Portugal y la División de Investigación Criminal del Servicio de Impuestos Internos de Estados Unidos.
Las autoridades de los siguientes países han participado en esta investigación:
- Suecia: Autoridad policial sueca (Polisen)
- Rumanía: Policía Nacional (Poliţia Română)
- Portugal: Policía Judicial (Polícia Judiciária)
- Alemania: Oficina Federal de Policía Criminal (Bundeskriminalamt)
- Estados Unidos: Servicio Secreto de EE.UU. (USSS), Oficina Federal de Investigación (FBI), Investigación Criminal del Servicio de Impuestos Internos (IRS-CI)
- Reino Unido: National Crime Agency (NCA)
- Europol: Centro Europeo de Ciberdelincuencia (EC3), Grupo de Acción Conjunta contra la Ciberdelincuencia (J-CAT)
Fuente y archivo del caso:
United States Leads Seizure of One of the World’s Largest Hacker Forums and Arrests Administrator
Archivo Diogo Santos Coelho
Última edición:
