.
A INTERPOL revelou uma investigação bem-sucedida sobre uma operação de phishing como serviço chamada “16shop”, com prisões de supostos operadores feitas na Indonésia e no Japão e a plataforma encerrada.
A Organização Internacional de Cooperação Policial revelado na terça-feira que um projeto de pesquisa que investiga ameaças cibernéticas no bloco de dez nações da Associação das Nações do Sudeste Asiático (ASEAN) detectou a existência da 16shop, caracterizada como fornecedora de “kits de phishing” vendidos a criminosos cibernéticos.
A INTERPOL avaliou que os kits foram usados para comprometer 70.000 usuários em 43 países.
A operação contra a 16Shop envolveu o compartilhamento de inteligência entre a diretoria de crimes cibernéticos da Secretaria-Geral da INTERPOL, além de autoridades da Indonésia, Japão e Estados Unidos. Grupos privados de segurança da informação, incluindo o Instituto de Defesa Cibernética do Japão, o Grupo-IB de Cingapura, a Unidade 42 da Palo Alto Networks e a Trend Micro também participaram, com o apoio da plataforma de investigação de crimes cibernéticos Cybertoolbelt.
Esses esforços levaram a Diretoria de Crimes Cibernéticos da Polícia Nacional da Indonésia no mês passado a prender um homem de 21 anos suspeito de ser o administrador da 16Shop. Eletroeletrônicos e “vários veículos de luxo” também foram apreendidos.
As autoridades japonesas prenderam outro homem supostamente ligado à 16shop.
A análise da 16Shop da empresa de segurança de informações de Cingapura Group-IB a levou a afirmar que mais de 150.000 domínios de phishing foram criados usando os kits de phishing da empresa.
A empresa de infosec acredita que os kits em questão foram negociados no submundo do crime cibernético desde pelo menos novembro de 2017, a preços que variam de US$ 60 a US$ 150.
“Páginas falsas que imitam a Amazon foram oferecidas por US$ 60, e páginas de phishing direcionadas aos usuários da American Express por US$ 150”, disse o grupo. Strong The One por email.
Os kits usavam oito idiomas e geolocalização, para que as supostas vítimas vissem o conteúdo localizado.
A colaboração internacional era necessária porque o fornecedor de phishing como serviço hospedava algumas de suas operações em servidores administrados por uma empresa com sede nos Estados Unidos. O FBI, portanto, ajudou a proteger as informações compartilhadas com os investigadores indonésios.
Enquanto isso, no Vietnã…
Em uma semana movimentada para a segurança da informação na Ásia, o Cisco Talos identificado uma gangue de ransomware baseada no Vietnã.
O grupo sem nome usa uma variante de ransomware chamada “Yashma”, que é uma versão renomeada do ransomware “Chaos”. A gangue disfarça seu ransomware como o notório WannaCry, no que Talos pensa ser uma tentativa de ofuscar a identidade do agente da ameaça e confundir os respondentes do incidente.
Mas o grupo trai suas origens em um repositório do GitHub intitulado “nguyenvietphat” – um apelido que faz referência a um negócio vietnamita legítimo. Os pesquisadores da Cisco também encontraram artefatos sugerindo que a gangue prefere ser contatada durante o horário comercial vietnamita.
Embora o grupo pareça estar baseado no Vietnã, ele escreveu notas de resgate em inglês, búlgaro, vietnamita, chinês simplificado e chinês tradicional. Essa coleção poliglota sugere que pretende buscar alvos em muitas nações.
O grupo é desagradável: a avaliação do Cisco Talos sobre seu ransomware é que ele limpa o conteúdo dos arquivos originais não criptografados, dificultando a vida daqueles que limpam após ataques de ransomware. ®
.
