IND | ENG
Forum Kebocoran Data Menghilang, RaidForums Disita FBI?

Halaman login RaidForums | Foto: thanhnien.vn

Forum Kebocoran Data Menghilang, RaidForums Disita FBI?
Andi Nugroho Diposting : Kamis, 17 Maret 2022 - 14:23 WIB

Cyberthreat.id – Situsweb kebocoran data, RaidForums, sejak akhir Februari lalu tak bisa diakses oleh pengguna di luar Indonesia. Perbincangan ini ramai dibahas oleh pengguna Twitter, terutama kalangan keamanan siber.

Di Indonesia, situsweb ini memang sudah lama tak bisa diakses bebas karena telah diblokir oleh Kementerian Komunikasi dan Informatika. Namun, situsweb masih bisa diterobos dengan jaringan virtual pribadi (VPN).

Namun, kabar bahwa RaidForums tak bisa diakses oleh pengguna di seluruh dunia menjadi pertanyaan: ada apa?

Sofiane Tahiri, peneliti keamanan siber asal Prancis, membikin viral dengan pernyataan bahwa RaidForums telah disita oleh  badan penegak hukum Amerika Serikat, Biro Investigasi Federal (FBI).

“#raidforums disita oleh #FBI yang berarti FBI sekarang sedang melakukan phishing,” tulisnya di akun Twitter-nya, 5 Maret lalu.

Ia melampirkan tangkapan sebuah halaman berjudul “Attachment A” dengan di bagian bawah tertulis “Seizure Warrant and Order to VeriSign, Inc.” (surat perintah penyitaan dan perintah kepada VeriSign). Juga, tangkapan layar yang merujuk pada server yang dipakai Raidforums, seperti di bawah ini:

VeriSign ialah perusahaan layanan infrastruktur internet terkemuka di dunia, yang dikenal mengurusi Top Level Domain (TLD) untuk ekstensi  domain .com.

Pada Kamis (17 Maret 2022), saat Cyberthreat.id mengecek situsweb, memang tak bisa diakses dan memunculkan halaman seperti berikut ini:

Unggahan Tahiri di-retweet oleh puluhan pengguna. Namun, tak ada kejelasan apakah unggahan tersebut valid atau tidak. Tahiri sendiri tidak memberikan bukti-bukti lain.

Jurnalis cybercrime asal Prancis, Gabriel Thierry turut berkomentar pada 15 Maret lalu. “Banyak spekulasi seputar kejatuhan #RaidForums.,” tulisnya sambil melampirkan tautan artikel yang ditulisnya tentang RaidForums di media online Numerama.

Menurut Gabriel, di kalangan komunitas keamanan siber belum ada yang bisa memastikan apa yang terjadi dengan RaidForums. Juga, belum ada lembaga resmi pemerintah yang mengumumkan tentang penyitaan situsweb.

Sebagai komunitas online terlarang yang beroperasi sejak 2015, RaidForums terkenal sebagai forum penjualan basis data meski di dalamnya juga ditawarkan konten pornografi dan alat peretasan. Basis data lembaga pemerintah di Indonesia beberapa kali dibocorkan di forum ini, termasuk basis data peserta BPJS Kesehatan pada tahun lalu. (Baca: Dugaan Kebocoran Data Peserta BPJS Kesehatan, RaidForums Diblokir oleh Kominfo)

Namun, mengapa forum tersebut mengambil perhatian untuk diperbincangkan? Ini lantaran selama tujuh tahun, RaidForums telah mengambil tempat sentral di dunia kejahatan siber.

Forum dengan sedikitnya 750 ribu anggota itu ialah tempat peretas jahat, peneliti keamanan siber, broker data, dan bahkan penegak hukum bisa saling bertemu.

RaidForums adalah situsweb kejahatan siber yang mudah diakses daripada situsweb dark web. Banyak yang salah kaprah menyebut forum ini berada di dark web. Padahal, web ini mudah diakses melalui peramban web umum dan terindeks mesin pencari Google. Sementara, situsweb dark web tidak muncul di permukaan penelusuran Google dan hanya bisa diakses oleh peramban berbasis .onion, yaitu Tor.

Pada 25 Februari, media online teknologi, HackRead menurunkan tulisan tentang dugaan bahwa RaidForums telah disita oleh penegak hukum.

Menurut HackRead, beredar sebuah tangkapan layar obrolan di saluran Telegram yang diduga berasal dari admin RaidForums dengan nama “Jaw”.

“Domain raidforums.com telah disita. Saya meminta siapa pun yang mencoba login untuk mengubah kata sandi Anda dan menghapus log apa pun yang Anda miliki. Domain baru https://rt.to bagi siapa yang tertarik untuk tinggal,” tulis Jaw. Situsweb baru itu juga tidak aktif.

Namun, pernyataan tersebut juga belum mendapatkan validasi. Saluran Telegram itu kemudian terkunci dan tak ada kejelasan hingga sekarang.

Sebelum kabar situsweb disita, memang pada 30 Januari 2022, forum sempat offline dan kembali bisa diakses pada 12 Februari.

Pada 4 Maret, Flashpoint, perusahaan keamanan siber berkantor pusat di New York, AS, menerbitkan laporan cukup detail tentang RaidForums meski tetap pada simpulan bahwa tak ada kepastian siapa di balik jatuhnya RaidForums.

“Secara linimasa penghapusan RaidForums bertepatan dengan perang Ukraina-Rusia, tapi Flashpoint tak bisa mengonfirmasi hubungan ini,” tulis Flashpoint di blog perusahaan.

Menurut perusahaan, pemilik RaidForums diduga pengguna dengan nama julukan (moniker) “Omnipotent”,”Omni”, atau “terminal”.

Kloning

Kekhawatiran Tahiri tentang phishing juga ditemukan oleh Flashpoint.

Menurut Flashpoint, sebelum admin Jaw mengumumkan RaidForums disita, terdapat tiruan dari login situsweb dipasang di beranda situsweb. Hingga 4 Maret, login kloning tersebut masih aktif.

“Ketika pengguna memasukkan kredensial ke portal, pesan kesalahan muncul untuk semua pengguna dan  memberitahu bahwa mereka telah dilarang dari situsweb. Ini mengindikasikan bahwa entitas mana pun yang bertanggung jawab untuk merebut situsweb berpotensi memanen kredensial dan mencatat informasi teknik pengunjung, seperti alamat IP,” turut Flashpoint.

Menurut perusahaan, jelang forum tak bisa diakses—mungkin telah disita—terjadi peningkatan jumlah terkait sentimen anti-Rusia dan penawaran anti-Rusia dalam bentuk data yang rentan dieksploitasi. Ini terjadi berdekatan hari invasi pertama Rusia ke Ukraina pada 24 Februari.

Flaspoint membuat linimasa tentang aktivitas forums sejak akhir Januari lalu. Urutannya begini:

  • 19 Januari: Seorang pengguna Raid Forums, “Kristina”, memposting utas yang berisi tautan unduhan baru untuk pembuangan data, yang diduga berisi dokumen, email, dan kata sandi militer Rusia.
  • 3 Februari: Sebuah penawaran untuk menjual 2TB array dari basis data orang Rusia dilaporkan berisi informasi pribadi Rusia termasuk nama lengkap, tanggal lahir, nomor paspor, dan informasi pajak.
  • 15 Februari: Seorang pengguna Raid Forums menjual basis data Rusia yang diduga berisi 61 juta nomor telepon Rusia.
  • 24 Februari: Pada hari invasi Rusia ke Ukraina, forum mengambil sikap terbuka dalam konflik ketika admin "diperdebatkan" mengumumkan bahwa situsweb akan melarang semua pengguna yang ditemukan terhubung ke situsweb Rusia.
  • 25 Februari: Aktor ancaman serangan "Kozak888" membocorkan basis data milik perusahaan pengiriman dan logistik ekspres Rusia, Flashpoint mengkonfirmasi ini. Kozak888 mengklaim bahwa perusahaan Rusia menyediakan layanan untuk pemerintah federal Rusia dan menyatakan bahwa kebocoran data adalah konsekuensi dari invasi Rusia ke Ukraina. Kozak888 mengungkapkan, basis data berisi 800 juta catatan termasuk nama lengkap, alamat email, dan nomor telepon.
  • 25 Februari: Seorang pengguna memposting utas yang meminta bantuan dalam membuat dokumen identifikasi palsu, diduga untuk membantu seorang teman melarikan diri dari Ukraina dan mencari perlindungan di negara tetangga Moldova.
  • 25 Februari: Seorang pengguna memposting utas yang mendorong pengguna untuk mulai mengumpulkan alamat IP Rusia yang dapat diserang.

Sejak tanggal tersebut, forum tak bisa lagi diakses. Sempat menampilkan halaman login, tapi pengguna ditolak untuk masuk.[]

#raidforums   #FBI

Share:




BACA JUGA
Tren Meningkatnya Serangan Ransomware Ganda
Senin, 02 Oktober 2023 - 11:38 WIB
BlackTech, Grup Hacker China Targetkan Perusahaan AS dan Jepang
Jumat, 29 September 2023 - 11:01 WIB
Bocornya Database RaidForums, Profil Pelaku Ancaman Siber Tersebar
Selasa, 30 Mei 2023 - 11:28 WIB
Begini Operator Genesis Market Mencari Untung dan Melayani Peretas
Kamis, 06 April 2023 - 18:00 WIB
Domain Pasar Dark Web Terkenal Genesis Market Disita FBI
Kamis, 06 April 2023 - 14:35 WIB