Правоохранителните органи са задържали заподозрян, за когото се смята, че е ключов член на киберпрестъпната група OPERA1ER, насочена към мобилни банкови услуги и финансови институции чрез кампании за зловреден софтуер, фишинг и компрометиране на бизнес електронна поща (BEC).

Бандата, известна още като NX$M$, DESKTOP Group и Common Raven, е заподозряна, че през последните четири години е откраднала между 11 и 30 млн. долара при повече от 30 атаки, обхванали 15 държави в Африка, Азия и Латинска Америка.

Заподозреният е арестуван от властите в Кот д’Ивоар в началото на юни след съвместна акция на правоприлагащите органи, наречена операция Nervone, с помощта на AFRIPOL, Дирекцията за киберпрестъпност на Интерпол, компанията за киберсигурност Group-IB и телекомуникационния оператор Orange.

Допълнителна информация, която помогна за разследването, беше споделена от отдела за криминални разследвания на Сикрет сървис на САЩ и изследователи в областта на киберсигурността от Booz Allen Hamilton DarkLabs.

„Според Доклада на Интерпол за оценка на киберзаплахите в Африка през 2022 г. киберпрестъпленията са нарастваща заплаха в региона на Западна Африка, като жертвите се намират по целия свят. Операция NERVONE подчертава ангажимента на Интерпол да се бори активно със заплахата от киберпрестъпност в региона“, заяви днес Интерпол.

„Операция NERVONE беше подкрепена от две ключови инициативи на Интерпол: Съвместната операция на Африка срещу киберпрестъпността и Програмата на Интерпол за подкрепа на Африканския съюз във връзка с AFRIPOL, финансирани съответно от Министерството на външните работи, Британската общност и развитието на Обединеното кралство и Федералното министерство на външните работи на Германия.“

Анализаторите на Group-IB и отделът CERT-CC на Orange, които следят групата OPERA1ER от 2019 г. насам, са свързали  заплахата с над 35 успешни атаки между 2018 и 2022 г., като приблизително една трета от тях са извършени през 2020 г.

Членовете на OPERA1ER говорят предимно френски език и се смята, че действат от Африка, а при атаките си разчитат на различни инструменти, включително решения с отворен код, общ зловреден софтуер и рамки като Metasploit и Cobalt Strike.

Първоначалният достъп до мрежите на целите обаче се получава чрез spear-phishing имейли, които използват популярни теми като фактури или известия за пощенски доставки и прокарват широк набор от зловреден софтуер на първи етап, включително Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET и Venom RAT, както и sniffers и dumpers за пароли.

Наблюдавано е, че OPERA1ER поддържа достъп до компрометирани мрежи за период от три до дванадесет месеца, като понякога се насочва многократно към една и съща компания.

Обикновено се фокусират и върху операторски акаунти, които контролират значителни суми пари, като използват откраднати идентификационни данни, за да прехвърлят средства в акаунти на Channel User, преди в крайна сметка да ги пренасочат към абонатни акаунти под техен контрол. Групата тегли откраднатите пари в брой чрез широка мрежа от банкомати по време на празници или почивни дни, за да избегне разкриване.

Изследователите от Symantec откриват и връзки между OPERA1ER и група киберпрестъпници, която проследяват като Bluebottle и която е използвала подписан драйвер за Windows при атаки срещу поне три банки във френскоговорящи африкански държави.

„Всеки опит да се разследва сложна заплаха като OPERA1ER, която открадна милиони от компании за финансови услуги и доставчици на телекомуникационни услуги по целия свят, изисква силно координирани усилия между органите от публичния и частния сектор“, заяви главният изпълнителен директор на Group-IB Дмитрий Волков.

„Успехът на операция Nervone е пример за важността на обмена на данни за заплахите и благодарение на сътрудничеството ни с Интерпол, Orange-CERT-CC и партньорите от частния и публичния сектор успяхме заедно да сглобим целия пъзел.“

 

Източник: По материали от Интернет

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
Бъдете социални
Още по темата
15/01/2025

Adobe: Критични дефекти при...

Във вторник производителят на софтуер Adobe...
08/01/2025

Dell, HPE и MediaTek закърп...

В понеделник производителите на хардуер MediaTek,...
06/01/2025

Отиде си Амит Йоран

Гигантът в областта на киберсигурността Tenable...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!