Търсене
Close this search box.

Полицията арестува заподозрян, свързан с OPERA1ER

Правоохранителните органи са задържали заподозрян, за когото се смята, че е ключов член на киберпрестъпната група OPERA1ER, насочена към мобилни банкови услуги и финансови институции чрез кампании за зловреден софтуер, фишинг и компрометиране на бизнес електронна поща (BEC).

Бандата, известна още като NX$M$, DESKTOP Group и Common Raven, е заподозряна, че през последните четири години е откраднала между 11 и 30 млн. долара при повече от 30 атаки, обхванали 15 държави в Африка, Азия и Латинска Америка.

Заподозреният е арестуван от властите в Кот д’Ивоар в началото на юни след съвместна акция на правоприлагащите органи, наречена операция Nervone, с помощта на AFRIPOL, Дирекцията за киберпрестъпност на Интерпол, компанията за киберсигурност Group-IB и телекомуникационния оператор Orange.

Допълнителна информация, която помогна за разследването, беше споделена от отдела за криминални разследвания на Сикрет сървис на САЩ и изследователи в областта на киберсигурността от Booz Allen Hamilton DarkLabs.

„Според Доклада на Интерпол за оценка на киберзаплахите в Африка през 2022 г. киберпрестъпленията са нарастваща заплаха в региона на Западна Африка, като жертвите се намират по целия свят. Операция NERVONE подчертава ангажимента на Интерпол да се бори активно със заплахата от киберпрестъпност в региона“, заяви днес Интерпол.

„Операция NERVONE беше подкрепена от две ключови инициативи на Интерпол: Съвместната операция на Африка срещу киберпрестъпността и Програмата на Интерпол за подкрепа на Африканския съюз във връзка с AFRIPOL, финансирани съответно от Министерството на външните работи, Британската общност и развитието на Обединеното кралство и Федералното министерство на външните работи на Германия.“

Анализаторите на Group-IB и отделът CERT-CC на Orange, които следят групата OPERA1ER от 2019 г. насам, са свързали  заплахата с над 35 успешни атаки между 2018 и 2022 г., като приблизително една трета от тях са извършени през 2020 г.

Членовете на OPERA1ER говорят предимно френски език и се смята, че действат от Африка, а при атаките си разчитат на различни инструменти, включително решения с отворен код, общ зловреден софтуер и рамки като Metasploit и Cobalt Strike.

Първоначалният достъп до мрежите на целите обаче се получава чрез spear-phishing имейли, които използват популярни теми като фактури или известия за пощенски доставки и прокарват широк набор от зловреден софтуер на първи етап, включително Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET и Venom RAT, както и sniffers и dumpers за пароли.

Наблюдавано е, че OPERA1ER поддържа достъп до компрометирани мрежи за период от три до дванадесет месеца, като понякога се насочва многократно към една и съща компания.

Обикновено се фокусират и върху операторски акаунти, които контролират значителни суми пари, като използват откраднати идентификационни данни, за да прехвърлят средства в акаунти на Channel User, преди в крайна сметка да ги пренасочат към абонатни акаунти под техен контрол. Групата тегли откраднатите пари в брой чрез широка мрежа от банкомати по време на празници или почивни дни, за да избегне разкриване.

Изследователите от Symantec откриват и връзки между OPERA1ER и група киберпрестъпници, която проследяват като Bluebottle и която е използвала подписан драйвер за Windows при атаки срещу поне три банки във френскоговорящи африкански държави.

„Всеки опит да се разследва сложна заплаха като OPERA1ER, която открадна милиони от компании за финансови услуги и доставчици на телекомуникационни услуги по целия свят, изисква силно координирани усилия между органите от публичния и частния сектор“, заяви главният изпълнителен директор на Group-IB Дмитрий Волков.

„Успехът на операция Nervone е пример за важността на обмена на данни за заплахите и благодарение на сътрудничеството ни с Интерпол, Orange-CERT-CC и партньорите от частния и публичния сектор успяхме заедно да сглобим целия пъзел.“

 

Източник: По материали от Интернет

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

Реакция на пробива в сигурн...

Нарушението и реакцията на AnyDesk На...
26/02/2024

Директорът по киберсигурнос...

Роб Джойс, директор по киберсигурността в...
26/02/2024

PayPal регистрира патент за...

PayPal е подал заявка за патент...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!