Thought Leadership
Seit dem Wochenende ist BreachForums nicht erreichbar. Wer die Seite aufruft, bekommt nur einen 502-Fehler zu sehen, egal ob über das reguläre Internet oder per Tor.
Eine gemeinnützige Organisation namens CCITIC, das Cyber Counter-Intelligence Threat Investigation Consortium, hat sich auf LinkedIn zu dem Takedown bekannt. Die Gruppe beschreibt sich als Organisation, die Cyberbedrohungen untersucht und mit Behörden zusammenarbeitet.
CCITIC reichte nach eigenen Angaben Abuse-Reports bei DigitalOcean ein, woraufhin der Hoster die Server abgeschaltet habe. Es sei aber nicht nur um einfache Domain-Abuse-Meldungen gegangen, so die Organisation gegenüber it-daily.net. Man habe sich mit den zuständigen Stellen koordiniert, könne wegen der laufenden Ermittlungen aber keine weiteren Details nennen. Weitere Informationen sollen veröffentlicht werden, sobald die Untersuchung abgeschlossen und die Fallakte öffentlich zugänglich ist.
Die Organisation sieht darin ein Signal an die gesamte Szene: Wer kriminelle Infrastruktur betreibt, muss sich nicht erst vor dem FBI fürchten. Es reiche aus, die richtigen Server zu finden und den Hosting-Anbieter mit einer sauberen Dokumentation zu konfrontieren. Zuvor habe man auf diesem Weg bereits dreimal die Website der Gruppe Lapsus$ innerhalb von neun Tagen vom Netz geholt.
Ein Forum, das immer wiederkommt
Allerdings wäre es naiv, BreachForums bereits abzuschreiben. Das Forum hat seit 2022 mehrere Beschlagnahmungen durch US-Behörden überstanden und ist danach jedes Mal unter einer neuen Domain wieder online gegangen.
Was sich allerdings verändert hat, ist die Stimmung im Untergrund. Anfang des Jahres tauchte eine Datenbank mit Informationen zu fast 324.000 Forenmitgliedern auf, veröffentlicht auf einer Seite, die nach der Erpressergruppe ShinyHunters benannt war. Die Daten umfassten unter anderem Nutzernamen, E-Mail- und IP-Adressen sowie Registrierungszeitpunkte.
Seitdem kursieren in der Szene Vorwürfe, das Forum sei ein Honeypot oder von Insidern verraten worden. Rivalitäten zwischen verschiedenen Akteuren werden mittlerweile offen auf Telegram ausgetragen. Das Vertrauen in solche Plattformen ist offensichtlich stark angeschlagen, und Aktionen wie der CCITIC-Takedown dürften diese Verunsicherung weiter verstärken.
