Οι αρχές συνέλαβαν έναν ύποπτο για εγκλήματα στον κυβερνοχώρο. Ο ύποπτος hacker θεωρείται βασικό μέλος της ομάδας OPERA1ER, που έχει στοχεύσει υπηρεσίες mobile banking και χρηματοπιστωτικά ιδρύματα, μέσω malware, phishing και BEC επιθέσεων.
Υπολογίζεται ότι η συμμορία που είναι γνωστή και ως NX$M$, DESKTOP Group και Common Raven, έχει κλέψει από 11 έως 30 εκατομμύρια δολάρια, τα τελευταία τέσσερα χρόνια. Τα χρήματα αυτά εκλάπησαν στα πλαίσια 30 επιθέσεων που έχουν στοχεύσει 15 χώρες σε όλη την Αφρική, την Ασία και τη Λατινική Αμερική.
Ο ύποπτος συνελήφθη από τις αρχές στην Ακτή Ελεφαντοστού στις αρχές Ιουνίου. Η σύλληψη έγινε στα πλαίσια μια επιχείρησης με το όνομα Nervone Operation, στην οποία συμμετείχαν η AFRIPOL, η Διεύθυνση Ηλεκτρονικού Εγκλήματος της Interpol, η εταιρεία κυβερνοασφάλειας Group-IB και η εταιρεία τηλεπικοινωνιών Orange.
Δείτε επίσης: MOVEit: Hacker κλέβουν δεδομένα 45.000 μαθητών της Νέας Υόρκης
Περαιτέρω πληροφορίες που βοήθησαν στην έρευνα για την OPERA1ER, κοινοποιήθηκαν από το Τμήμα Εγκληματολογικών Ερευνών της Μυστικής Υπηρεσίας των Ηνωμένων Πολιτειών και ερευνητές κυβερνοασφάλειας από το Booz Allen Hamilton DarkLabs.
“Σύμφωνα με το 2022 African Cyberthreat Assessment Report της INTERPOL, το έγκλημα στον κυβερνοχώρο είναι μια αυξανόμενη απειλή στην περιοχή της Δυτικής Αφρικής, με θύματα να βρίσκονται σε όλο τον κόσμο. Η επιχείρηση NERVONE υπογραμμίζει τη δέσμευση της INTERPOL να καταπολεμήσει προληπτικά την απειλή του κυβερνοεγκλήματος στην περιοχή“, ανέφερε σήμερα η Interpol.
“Η επιχείρηση Nervone υποστηρίχθηκε από δύο βασικά INTERPOL initiatives: το African Joint Operation against Cybercrime και το INTERPOL Support Programme για την Αφρικανική Ένωση, που χρηματοδοτείται από το Υπουργείο Εξωτερικών, Κοινοπολιτείας και Ανάπτυξης του Ηνωμένου Βασιλείου και το Ομοσπονδιακό Υπουργείο Εξωτερικών της Γερμανίας, αντίστοιχα“.
Οι αναλυτές της Group-IB και το τμήμα CERT-CC της Orange παρακολουθούν την ομάδα OPERA1ER από το 2019 και την έχουν συνδέσει με περισσότερες από 35 επιτυχημένες επιθέσεις μεταξύ 2018 και 2022. Ένα μεγάλο μέρος των επιθέσεων αυτών έλαβε χώρα το 2020.
Δείτε επίσης: Οι Κινέζοι hackers APT15 χρησιμοποιούν το νέο Graphican backdoor
Τα μέλη της ομάδας OPERA1ER μιλούν κυρίως γαλλικά και φέρεται να εδρεύουν στην Αφρική. Χρησιμοποιούν διάφορα εργαλεία κατά των στόχων τους, όπως λύσεις ανοιχτού κώδικα, κακόβουλα προγράμματα και frameworks όπως το Metasploit
και το Cobalt Strike.Ωστόσο, η πρόσβαση στα δίκτυα των στόχων αρχικά γίνεται μέσω phishing μηνυμάτων που εκμεταλλεύονται την προσοχή των θυμάτων με θέματα όπως τιμολόγια ή ειδοποιήσεις ταχυδρομικής παράδοσης. Μέσω αυτών των μηνυμάτων, οι συσκευές των θυμάτων μολύνονται με κακόβουλα προγράμματα πρώτου σταδίου, όπως τα Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET και Venom RAT, καθώς και password sniffers και dumpers.
Σύμφωνα με τους ερευνητές, οι hackers της OPERA1ER μπορεί να διατηρούν πρόσβαση σε παραβιασμένα δίκτυα για 3 έως 12 μήνες και συχνά επιτίθεται στην ίδια εταιρεία.
Επίσης, οι hackers συνήθως εστιάζουν σε λογαριασμούς χειριστή που ελέγχουν σημαντικά χρηματικά ποσά, χρησιμοποιώντας κλεμμένα credentials για τη μεταφορά χρημάτων σε Channel User accounts πριν τα ανακατευθύνουν τελικά σε λογαριασμούς υπό τον έλεγχό τους. Στη συνέχεια, η ομάδα παίρνει τα κλεμμένα χρήματα σε μετρητά μέσω ενός εκτεταμένου δικτύου ΑΤΜ και κυρίως κατά τις αργίες ή τα Σαββατοκύριακα για να αποφύγει τον εντοπισμό.
Δείτε επίσης: Οι χάκερ ψάχνουν τα πιθανά θηράματα στα social media
Ερευνητές της Symantec βρήκαν επίσης συνδέσμους μεταξύ της OPERA1ER και μιας ομάδας κυβερνοεγκληματιών που παρακολουθείται ως Bluebottle.
“Η επιτυχία της Operation Nervone αποτελεί παράδειγμα της σημασίας της ανταλλαγής δεδομένων και χάρη στη συνεργασία μας με την INTERPOL, την Orange-CERT-CC και τους εταίρους του ιδιωτικού και του δημόσιου τομέα, μπορέσαμε συλλογικά να συνθέσουμε ολόκληρο το παζλ“, είπε σε σχέση με τη σύλληψη του hacker και τις πληροφορίες που έχουν συλλέξει.
Oι κυβερνοεπιθέσεις είναι από τις σημαντικότερες απειλές που αντιμετωπίζουν σήμερα οι τράπεζες. Ως εκ τούτου (οι τράπεζες), πρέπει να επενδύσουν σε ισχυρές λύσεις κυβερνοασφάλειας και να εκπαιδεύσουν τους υπαλλήλους τους σχετικά με τον τρόπο αναγνώρισης και αντιμετώπισης των απειλών στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com