Carder.life - Французская полиция арестовала операторов хак-форума BreachForums

<div id="post_message_799911">

По информации французских СМИ, правоохранительные органы арестовали четырех администраторов BreachForums, известных под никами ShinyHunters, Hollow, Noct и Depressed. Также сообщается, что еще в феврале 2025 года французские власти задержали известного хакера IntelBroker, который ранее тоже был админом ресурса. 
 
Аресты 
 
Как сообщает французская газета <a href="https://www.leparisien.fr/high-tech/la-police-interpelle-cinq-hackers-francais-de-haut-vol-derriere-un-celebre-forum-de-vol-de-donnees-25-06-2025-QJTPFTDPQZAP7B25MF24YLHU6E.php" target="_blank">Le Parisien</a>, в начале текущей недели подразделение по борьбе с киберпреступностью (BL2C) департамента полиции Парижа провело операцию, направленную на операторов BreachForums. 
 
По данным журналистов, рейды одновременно прошли в Париже, Нормандии и Реюньоне. В результате были арестованы четверо хакеров: ShinyHunters, Hollow, Noct и Depressed. 
 
Также издание сообщает, что слухи об аресте еще одного известного злоумышленника (IntelBroker) были правдивы. По информации журналистов, IntelBroker арестован французскими властями еще в феврале 2025 года. 
 
<div style="margin:20px; margin-top:5px; ">

<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
Под названием BreachForums уже работало несколько сайтов, и все они были посвящены покупке, продаже и «сливу» ворованных данных. 
 
Первым «форумом для утечек» был RaidForums. Но после того как ФБР <a href="https://xakep.ru/2022/04/12/raidforums-down/" target="_blank">закрыло </a>его в 2022 году, некто Pompompurin запустил собственный ресурс под названием BreachForums (или просто Breached). 
 
Этот форум быстро завоевал популярность в хакерской среде, и преступники публиковали на сайте огромные объемы украденных данных. К примеру, включая информацию <a href="https://xakep.ru/2023/03/10/dc-health-link-leak/" target="_blank">поставщика медицинских услуг Конгресса США</a> DC Health Link, данные миллионов пользователей <a href="https://xakep.ru/2022/11/28/twitter-leaks-2/" target="_blank">Twitter </a>и так далее. 
 
Вскоре публикации данных DC Health Link, в марте 2023 года ФБР арестовало владельца форума Конора Брайана Фитцпатрика (Pompompurin) и BreachForums закрылся. Отметим, что Фитцпатрик признал себя виновным по нескольким пунктам обвинения, а в январе 2024 года его <a href="https://xakep.ru/2024/01/22/pompompurin-sentenced/" target="_blank">приговорили </a>к 20 годам под надзором. 
 
Однако вскоре появились новые версии ресурса, которые в итоге тоже были захвачены правоохранительными органами. 
 
Еще одна инкарнация сайта — BreachForums v2 <a href="https://xakep.ru/2024/05/31/breachforums-is-back/" target="_blank">была запущена</a> в прошлом году под руководством ShinyHunters, Baphomet и, позднее, IntelBroker (отошел от управления сайтом в январе 2025 года). 
 
Эта версия сайта отключилась в апреле 2025 года после того, как BreachForums, предположительно, был взломан через 0-day уязвимость в MyBB. После этого форум так и не вернулся в сеть.
</td>
</tr>
</table>
</div>Как сообщает Le Parisien, задержанные ShinyHunters и IntelBroker являлись администраторами и владельцами сайта, а также архивные сообщения показывают, что Hollow играл роль модератора. Однако остается неясным, какое участие в работе ресурса принимали Depressed и Noct. 
 
Теперь хакеров обвиняют во взломе таких французских компаний и организаций, как Boulanger, SFR, France Travail и Французская федерация футбола (FFF). Особенно примечательной в этом списке является атака на France Travail (бывшая Pôle Emploi), так как в результате инцидента были скомпрометированы данные примерно <a href="http://www.francetravail.fr/candidat/soyez-vigilants/cyberattaque-soyez-vigilants.html" target="_blank">43 млн человек</a>. 
 
Самым известным из арестованных хакеров, безусловно, можно назвать ShinyHunters. Так, его имя связано с многочисленными атаками и громкими утечками данных, включая атаки на <a href="https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion" target="_blank">Salesforce </a>и <a href="https://xakep.ru/2024/06/04/snowflake-attack/" target="_blank">SnowFlake</a>, от которых в итоге пострадали Santander, Ticketmaster, AT&T, Advance Auto Parts, Neiman Marcus, Cylance и другие. 
 
Кроме того, никнейм ShinyHunters связан с другими взломами и «сливами», а ИБ-специалисты полагают, что под этим псевдонимом скрывается группа лиц, состоящая из нескольких преступников. 
 
Личность IntelBroker 
 
Уже после публикации сообщения Le Parisien об арестах, стало известно, что в США гражданину Великобритании, известному под ником IntelBroker, предъявили обвинения в краже и продаже конфиденциальных данных компаний со всего мира, а также причинении ущерба на сумму около 25 млн долларов. 
 
<a href="https://www.justice.gov/usao-sdny/pr/serial-hacker-intelbroker-charged-causing-25-million-damages-victims" target="_blank">Обвинительное заключение</a>, обнародованное прокуратурой Южного округа Нью-Йорка, гласит, что под ником IntelBroker скрывался 25-летний британец Кай Уэст (Kai West). 
 
По данным американских властей, он много лет занимался кражей и продажей данных из сетей правительственных учреждений, компаний и объектов критической инфраструктуры. Чаще всего украденная информация распространялась через BreachForums. 
 
По данным Министерства юстиции США, действия Уэста причинили ущерб десяткам жертв (включая американскую телекоммуникационную компанию, поставщика медицинских услуг, поставщика интернет-услуг и более 40 других организаций) на общую сумму около 25 млн долларов. 
 
Напомним, что IntelBroker связан со многими громкими взломами: <a href="https://xakep.ru/2023/03/10/dc-health-link-leak/" target="_blank">DC Health Link</a>, которая управляет планами медицинского обслуживания членов Палаты представителей США, <a href="https://xakep.ru/2024/05/13/epe-hack/" target="_blank">Европола</a>, <a href="https://xakep.ru/2024/06/19/amd-leak-intelbroker/" target="_blank">AMD</a>, <a href="https://xakep.ru/2024/11/05/nokia-leak/" target="_blank">Nokia</a>, <a href="https://xakep.ru/2025/01/21/intelbroker-hpe/" target="_blank">HPE</a>, <a href="https://xakep.ru/2023/11/27/general-electric-leak/" target="_blank">General Electric</a> и множества других. 
 
Уэсту предъявлены обвинения в сговоре с целью совершения компьютерных взломов, мошенничестве с использованием электронных средств связи, сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в получении доступа к защищенным компьютерам с целью получения информации. Эти обвинения могут повлечь за собой максимальное наказание в виде 25 лет лишения свободы. 
 
Также в <a href="https://www.justice.gov/usao-sdny/media/1404616/dl?inline" target="_blank">документах </a>подробно описывается, как ФБР подтвердило личность IntelBroker, также известного под псевдонимом Kyle Northern. 
 
Еще в январе 2023 года агент ФБР под прикрытием приобрел у IntelBroker ворованный API-ключ за 250 долларов в криптовалюте. Биткоин-адрес, использованный в ходе этой сделки, удалось отследить до кошелька, созданного ранее на банкинговой платформе Ramp. Этот кошелек оказался связан с учетной записью, зарегистрированной на британские водительские права, выданные на имя Кая Уэста. 
 
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/527545/licence.png"/> 
 
Кроме того, email-аккаунт использовавшийся на Ramp, удалось проследить до учетной записи на бирже Coinbase, зарегистрированной на псевдоним Kyle Northern, также принадлежавший Уэсту. 
 
В упомянутом почтовом ящике были найдены счета, электронные письма из университета и фотография прав Уэста. Также он использовал одни и те же IP-адреса для входа как в свои личные учетные записи, так и в профили IntelBroker, что позволило ФБР убедиться, что они вышли на нужного человека. 
 
Американские власти подтверждают, что Уэст был арестован во Франции в феврале текущего года. 
 
<a href="https://xakep.ru/2025/06/26/breachforums-arrests/" target="_blank">@ xakep.ru</a>
</div>