.
Um grupo criminoso de língua francesa de codinome OPERA1ER realizou mais de 30 roubos cibernéticos contra organizações de telecomunicações e bancos na África, Ásia e América Latina, roubando mais de US$ 30 milhões em quatro anos, segundo pesquisadores de segurança.
Os roubos começam com e-mails direcionados que enganam a equipe dessas empresas para executar malware de backdoor, keyloggers e ladrões de senhas, de acordo com a equipe de inteligência de ameaças do Group-IB, trabalhando com o CERT Coordination Center da empresa francesa de telecomunicações Orange. Os bandidos usam as credenciais roubadas desses softwares maliciosos para obter credenciais de nível de administrador para controladores de domínio do Windows na rede e aplicativos de back-end dos bancos, como seus clientes de mensagens SWIFT, que as instituições financeiras usam para enviar e receber detalhes de transações umas das outras .
Após a intrusão inicial, os operadores suaves e furtivos usam ferramentas como Cobalt Strike e Metasploit para manter a persistência e permanecer na rede por três a 12 meses, movendo astutamente o dinheiro das pessoas entre contas antes de eventualmente retirar fundos do caixa eletrônico.
Em um assalto, “uma rede de mais de 400 contas de assinantes de mulas foi usada para sacar rapidamente fundos roubados, feitos principalmente durante a noite por meio de caixas eletrônicos”, escreveram os pesquisadores em um relatório este mês. Após uma investigação mais aprofundada, os analistas descobriram que as mulas de dinheiro foram recrutadas com até três meses de antecedência, acrescentaram. “Era óbvio que o ataque era muito sofisticado, organizado, coordenado e planejado por um longo período de tempo.”
A gangue não implantou nenhum malware sob medida e, em vez disso, usou código-fonte aberto junto com ferramentas que podiam encontrar gratuitamente na dark web.
“Com o kit de ferramentas básico ‘de prateleira’, a OPERA1ER confirmou ter roubado pelo menos US$ 11 milhões desde 2019”, segundo o relatório. “Mas acredita-se que o valor real seja superior a US$ 30 milhões, já que algumas das empresas comprometidas não confirmaram o fato da perda de dinheiro”.
Muitas das empresas vítimas foram atacadas duas vezes, e os bandidos usaram a infraestrutura dessas empresas para atacar outras organizações. Além disso, os criminosos usaram VPNs para cobrir seus rastros.
Embora o domínio mais antigo conhecido registrado e usado pelo grupo para suas atividades no submundo tenha sido criado em 2016, o relatório acompanha a atividade dos criminosos de 2018 a 2022.
Os bancos, outras instituições financeiras e empresas de telecomunicações atingidas nesse período abrangem pelo menos 15 países: Costa do Marfim, Mali, Burkina Faso, Benin, Camarões, Bangladesh, Gabão, Níger, Nigéria, Paraguai, Senegal, Serra Leoa, Uganda, Togo e Argentina.
Outros pesquisadores de segurança rastrearam algumas das campanhas da gangue ao longo dos anos, incluindo Tom Ueltschi, que nomeou os criminosos DESKTOP-Grupo. O Group-IB também observou que a SWIFT rastreia a gangue como Corvo Comum. ®
.
