Raid Forums : Le plus grand forum de pirates au monde démantelé

Si un pirate souhaitait acheter des données volées sur Internet, Raid Forum était capable de lui fournir ses besoins malveillants. Le FBI a stoppé un business mis en place, à sa création, par un adolescent de 14 ans.

Un pirate informatique recherchait des accès à des comptes e-mails ? A un site web ? A des adresses électroniques et des mots de passe ? Raid Forum, un portail web mis en ligne en 2015 permettait d’assouvir ses besoins malveillants. Raid Forum était rapidement devenu une référence « web » pour les pirates, mais aussi pour les chercheurs en cyber sécurité. Le site comptait, 24 heures avant sa fermeture, 748,348 membres.

En janvier 2022, le site Raid Forum tombe plusieurs fois en panne. Le 6 février 2022, une panne plus longue fait apparaitre un problème de base de données pour Raid Forum. Le site ne répond plus. Son fondateur, Omnipotent aurait laissé un étrange message. Un tigre des montagne l’aurait attaqué. Code secret pour alerter ses administrateurs ? Fake news ? Le site va réapparaitre, mais en ne proposant que la page de connexion. Un moyen pour les autorités de collecter les identifiants de connexion des utilisateurs ?

3,8 millions de messages

Les rumeurs n’ont pas cessé jusqu’à ce 13 mars 2022. Le FBI et Europol ont annoncé la saisi de Raid Forums et de deux domaines alternatifs : Raid.lol et rf.ws le 25 février 2022. Selon les autorités, c’était « l’un des plus grands forums de pirates au monde« . Un demi-million d’utilisateurs actifs y échangeaient des données volées. Plus de 3,8 millions de messages. Le FBI, le BKA (allemagne), Europol et les autorités suédoises, britanniques, portugaises et roumaines ont participé à l’action commune.

Outre la confiscation du site, les autorités ont également signalé l’arrestation de trois suspects. Le principal accusé est l’exploitant du site, Diego Coelho alias « Omnipotent ». Selon l’acte d’accusation, le Portugais de 21 ans aurait fondé le forum en 2015 – à l’âge de 14 ans. Il aurait lui-même échangé des données, mais aurait également organisé des transactions pour des tiers moyennant des frais. On ne connait pas la somme récoltée, mais cela doit se chiffrer en centaines de milliers de dollars.

Plusieurs enquêtes suivaient Omnipotent depuis 2018. Un personnage assez simple à suivre en vérité. Il a utilisé pendant des mois son adresse mail pour recevoir de l’argent, via Paypal. Il est accusé de six chefs d’accusation tels que le blanchiment d’argent et le vol d’identité.

De Raid Forum à RaidForum 3

Après la fermeture, en  février, et l’étrange message d’un « contact » d’Omnipotent, un RaidForum 2 va sortir de terre. Il ne tiendra pas une semaine. Un ancien membre très actif de Raid Forum va infiltrer le site et diffuser la base de données des membres de cette nouvelle version. C’est d’ailleurs ce pirate qui va lancer, ensuite, Raid Forum 3, baptisé « Breach ». Un malveillant très connu de la scène. Pompompurin, le pirate en question, auparavant très actif sur Raid Forums, a lancé une communauté alternative qui reprend les mêmes règles que Raid Forum avec la diffusion de données piratées.

Très étonnant, je vous en parlais dans la ZATAZ Twitch émission, Pompompurin a proposé aux anciens membres ayant un rang sur Raid Forum de se faire connaître et de prouver leur rang. Mission, offrir un accès privilégié au nouveau Raid Forum. Une collecte d’information assez étonnante aussi !

Exemple de diffusion malveillante du pirate Pompompurin.

Pompompurin est apparu en octobre 2020. Une réputation très médiatique via des fuites de données et infiltrations comme cette cyberattaque, le 12 novembre 2021, ayant visé le système de messagerie du FBI ou encore, toujours à partir d’une « erreur » du FBI, la récupération de données appartenant au site WeLeakInfo. Derrière Pompompurin, un canadien dont la géolocalisation présumée serait Calgary. « Il était temps qu’ils l’annoncent. » explique le pirate en parlant de Raid Forum « Après avoir vu ça, je suis assez confiant que RaidForums ne reviendra pas. Vous pouvez vous attendre à ce que [son site] reste longtemps en ligne« .

La fin de Raid forum fait suite, quelques jours auparavant de la fin des serveurs du blackmarket Russe Hydra.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.