.
Policiais internacionais prenderam uma suposta “figura-chave” de um grupo de crimes cibernéticos apelidado de OPERA1ER, que roubou até US$ 30 milhões de mais de 30 bancos e organizações financeiras em 15 países.
Os criminosos estão ativos há pelo menos quatro anos, de acordo com pesquisadores de segurança e policiais. Durante esse tempo, eles visaram empresas financeiras e serviços bancários móveis com malware, campanhas de phishing e golpes de comprometimento de e-mail comercial (BEC) em grande escala.
O BEC continua a ser um negócio de bilhões de dólares para cibercriminosos – e uma prioridade máxima para a aplicação da lei. Somente em 2022, o FBI disse que recebeu 21.832 reclamações de BEC com perdas ajustadas superiores a US$ 2,7 bilhões. [PDF].
De acordo com a Interpol, que liderou a força-tarefa internacional na Operação Nervone para derrubar o líder da gangue, a OPERA1ER roubou pelo menos $ 11 milhões – mas possivelmente até $ 30 milhões – de organizações em toda a África, Ásia e América Latina.
“A Operação Nervone é uma prova do que podemos alcançar por meio da colaboração internacional e do compartilhamento de inteligência”, disse. disse Bernardo Pillot, Diretor Adjunto de Operações de Crimes Cibernéticos da Interpol.
“Esta operação bem-sucedida marca um passo significativo em nossa missão contínua de desmantelar as redes organizadas de crimes cibernéticos, mostrando o poder da ação coletiva para conter a maré contra o crime cibernético”.
A loja de segurança Group-IB detectou pela primeira vez a atividade ilícita de e-mail dos criminosos em 2018 e pesquisa publicada sobre a gangue de língua francesa no outono passado.
De acordo com sua equipe de inteligência de ameaças, os roubos começam com e-mails direcionados que induzem os funcionários dessas empresas a executar malware backdoor, keyloggers e ladrões de senhas.
Os bandidos então usam as credenciais roubadas desses programas maliciosos para obter credenciais de nível de administrador para controladores de domínio do Windows na rede e aplicativos de back-end dos bancos, como seus clientes de mensagens SWIFT, que as instituições financeiras usam para enviar e receber detalhes de transações de um outro.
Após a invasão inicial, os operadores furtivos usam ferramentas como Cobalt Strike e Metasploit para manter a persistência e permanecer na rede por três a 12 meses, movimentando o dinheiro das pessoas entre contas antes de sacar fundos de caixas eletrônicos usando ajuda contratada.
Em um assalto, “uma rede de mais de 400 contas de assinantes mulas foi usada para sacar rapidamente fundos roubados, principalmente durante a noite em caixas eletrônicos”, os pesquisadores disse em um relatório de novembro de 2022.
O Group-IB também trabalhou com a Interpol em outro código de iniciativa anti-BEC chamado Operação Dalila.
Assim também foi com a Operação Nervone. A Diretoria de Crimes Cibernéticos da Interpol, o Grupo-IB e a empresa de telecomunicações francesa Orange trocaram informações para rastrear os criminosos e identificar prováveis locais para suas transações ilegais. Então, no início de junho, a aplicação da lei na Costa do Marfim prendeu um dos principais suspeitos ligados a ataques contra instituições financeiras em toda a África, foi anunciado na terça-feira.
A Divisão de Investigação Criminal do Serviço Secreto dos EUA e os pesquisadores de segurança cibernética da Booz Allen Hamilton DarkLabs forneceram informações adicionais que levaram à prisão.
Além disso, duas iniciativas da Interpol apoiaram a Operação Nervone: a Operação Conjunta Africana contra o Cibercrime e o Programa de Apoio da Interpol para a União Africana em relação à Afripol. ®
.
