A polícia deteve um suspeito que se acredita ser um membro importante do grupo hacker OPERA1ER, que tem como alvo serviços bancários móveis e instituições financeiras por meio de campanhas de malware, phishing e comprometimento de e-mail comercial (BEC).
A quadrilha, conhecida também como NX$M$, DESKTOP Group e Common Raven, é suspeita de ter roubado entre US$ 11 milhões e US$ 30 milhões nos últimos quatro anos, em mais de 30 ataques em 15 países da África, Ásia e América Latina.
O suspeito foi preso pelas autoridades da Costa do Marfim no início de junho, após uma ação policial conjunta batizada de Operação Nervone com a ajuda da Afripol, Direção de Crimes Cibernéticos da Interpol, empresa de segurança cibernética Group-IB e operadora de telecomunicações Orange.
Mais informações que ajudaram na investigação foram compartilhadas pela Divisão de Investigação Criminal do Serviço Secreto dos Estados Unidos e pesquisadores de segurança cibernética da Booz Allen Hamilton DarkLabs.
“De acordo com o Relatório Africano de Avaliação de Ameaças Cibernéticas de 2022 da Interpol, o cibercrime é uma ameaça crescente na região da África Ocidental, com vítimas localizadas em todo o mundo. A Operação Nervone ressalta o compromisso da Interpol de combater proativamente a ameaça do cibercrime na região”, disse a Interpol.
Os analistas do Group-IB e o departamento CERT-CC da Orange, rastreando o grupo OPERA1ER desde 2019, vincularam os operadores de ameaças a mais de 35 ataques bem-sucedidos entre 2018 e 2022, aproximadamente um terço deles realizados em 2020. Os membros do grupo falam predominantemente francês e acredita-se que operam na África, e contam com várias ferramentas em seus ataques, incluindo soluções de código aberto, malware comum e estruturas como Metasploit e Cobalt Strike.
Veja isso
Interpol prende 75 suspeitos de integrarem o grupo Black Axe
Interpol desarticula rede global de cibercriminosos
No entanto, o acesso inicial às redes das vítimas é obtido por meio de e-mails de spear phishing que exploram assuntos populares, como faturas ou notificações de entrega postal, e enviam uma ampla variedade de malware de primeiro estágio, incluindo Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET e Venom RAT, bem como sniffers e dumpers de senhas.
O OPERA1ER foi observado tendo acesso a redes comprometidas por um período que varia de três a doze meses, ocasionalmente visando a mesma empresa várias vezes. Eles também normalmente se concentram em contas de operadores que controlam somas significativas de dinheiro, usando credenciais roubadas para transferir fundos para contas de usuários antes de redirecioná-los para contas de assinantes sob seu controle. O grupo retira o dinheiro roubado em espécie por meio de uma extensa rede de caixas eletrônicos durante feriados ou fins de semana para evitar a detecção.
Pesquisadores da Symantec também encontraram ligações entre o OPERA1ER e um grupo de cibercriminosos que rastrearam como Bluebottle, que usou um driver Windows assinado em ataques contra ao menos três bancos em países africanos de língua francesa. Com agências de notícias internacionais.