hackers miram itália e espanha no covid-19

Grupo ‘OPERA1ER’ rouba cerca de US$ 11 milhões de bancos e teles

Campanha de ameaça persistente avançada tem por traz um grupo de língua francesa que roubou ao menos US$ 11 milhões de bancos e operadoras de telecom
Da Redação
03/11/2022

Especialistas em cibersegurança descobriram uma ampla campanha de ameaça persistente avançada (APT) que tem por traz um grupo de língua francesa que roubou ao menos US$ 11 milhões de bancos e operadoras de telecomunicações em um período de quatro anos.

O Group-IB nomeou o grupo hacker “OPERA1ER”, embora fosse conhecido anteriormente pelos apelidos “DESKTOP-group” e “Common Raven”. A empresa de inteligência em ameaças se uniu ao Orange CERT Coordination Center para compilar o relatório sobre o OPERA1ER. O documento detalha como o grupo usou ferramentas prontas para realizar ao menos 35 ataques a bancos, empresas de serviços financeiros e operadoras de telecomunicações, principalmente na África, Bangladesh e Argentina, entre 2018 e 2022.

“A análise detalhada dos ataques recentes da gangue revelou um padrão interessante em seu modus operandi: o OPERA1ER realiza ataques principalmente durante os fins de semana ou feriados”, disse Rustam Mirkasymov, chefe de pesquisa de ameaças cibernéticas do Group-IB Europa.

Isso, segundo ele, se correlaciona com o fato de que passa de três a 12 meses desde o acesso inicial ao roubo de dinheiro. “Foi detectado que o grupo de hackers de língua francesa poderia operar a partir da África. O número exato dos membros da gangue é desconhecido”, disse Mirkasymov.

O grupo usou malware disponível gratuitamente e estruturas de red team como do Metasploit e Cobalt Strike para atingir seus objetivos. Os ataques começam com um e-mail de spear phishing carregado com um anexo, que pode estar escondendo um trojan de acesso remoto (RAT) como o Netwire, bitrat, venomRAT, AgentTesla ou Neutrino, bem como sniffers e dumpers de senha.

Esse acesso leva à exfiltração de e-mails e documentos internos que são estudados para uso em futuros ataques de phishing. Os documentos também ajudam os invasores a entender a complexa plataforma de pagamentos digitais usada pelas organizações vítimas, de acordo com o relatório.

Veja isso
Ransomware, APTs e Log4j lideram ranking de ameaças
Descoberto grupo de APT operando oculto há dez anos

“A plataforma possui uma arquitetura de três camadas de contas distintas para permitir diferentes tipos de operações. Para comprometer esses sistemas, o OPERA1ER exigiria conhecimento específico sobre as principais pessoas envolvidas no processo, mecanismos de proteção em vigor e links entre operações de plataforma de backend e saques em dinheiro”, disse o Group-IB. “A gangue poderia ter obtido esse conhecimento diretamente de insiders ou de si mesmos, avançando lentamente nos sistemas visados.”

Usando credenciais roubadas de contas internas, os hackers aparentemente transferiram fundos das contas de “operador” contendo grandes somas de dinheiro, para contas de “usuário de canal” e depois para contas de “assinante” sob seu controle. O grupo então sacou o dinheiro em caixas eletrônicos — incluindo um ataque em que o fizeram por meio de uma rede de mais de 400 contas de assinantes controladas por mulas de dinheiro recrutadas com meses de antecedência.

Compartilhar: