Uma operação coordenada de aplicação da lei, batizada de MORPHEUS, desativou cerca de 600 servidores que eram utilizados por grupos de cibercriminosos e faziam parte de uma infraestrutura de ataque associada ao Cobalt Strike.
A ação focou em versões antigas, não licenciadas, do framework de red teaming Cobalt Strike entre 24 e 28 de junho, segundo a Europol.
Dos 690 endereços IP que foram sinalizados aos provedores de serviços online em 27 países como associados a atividades criminosas, 590 não estão mais acessíveis.
A operação conjunta, que teve início em 2021, foi liderada pela Agência Nacional de Crime do Reino Unido (NCA) e contou com a participação de autoridades da Austrália, Canadá, Alemanha, Holanda, Polônia e EUA.
Oficiais da Bulgária, Estônia, Finlândia, Lituânia, Japão e Coreia do Sul forneceram apoio adicional.
O Cobalt Strike é uma ferramenta popular de simulação de adversário e teste de penetração desenvolvida pela Fortra (anteriormente Help Systems), oferecendo aos especialistas em segurança de TI uma maneira de identificar pontos fracos nas operações de segurança e nas respostas a incidentes.
Contudo, como já observado anteriormente pelo Google e pela Microsoft, versões crackeadas do software encontraram caminho nas mãos de atores maliciosos, que várias vezes abusaram dela para fins de pós-exploração.
De acordo com um relatório recente da Palo Alto Networks Unit 42, isso envolve o uso de um payload chamado Beacon, que utiliza perfis baseados em texto denominados Malleable C2 para alterar as características do tráfego web do Beacon numa tentativa de evitar detecção.
"Embora o Cobalt Strike seja um software legítimo, infelizmente os cibercriminosos exploraram seu uso para fins nefastos," disse Paul Foster, diretor de liderança de ameaças na NCA, em um comunicado.
Versões ilegais dele ajudaram a baixar a barreira de entrada no cibercrime, facilitando para criminosos online desencadear ataques de ransomware e malware prejudiciais com pouca ou nenhuma expertise técnica.
Tais ataques podem custar às empresas milhões em termos de perdas e recuperação.
Este avanço ocorre enquanto as autoridades policiais espanholas e portuguesas prenderam 54 pessoas por cometerem crimes contra cidadãos idosos por meio de esquemas de vishing, passando-se por funcionários de bancos e enganando-os para que revelassem informações pessoais sob o pretexto de retificar um problema com suas contas.
Os detalhes eram então repassados a outros membros da rede criminosa, que visitavam as casas das vítimas sem avisar e as pressionavam a entregar seus cartões de crédito, códigos PIN e detalhes bancários.
Alguns casos também envolveram o roubo de dinheiro e joias.
O esquema criminoso acabou permitindo que os malfeitores assumissem o controle das contas bancárias dos alvos ou fizessem saques não autorizados de ATMs e outras compras caras.
"Usando uma mistura de chamadas telefônicas fraudulentas e engenharia social, os criminosos são responsáveis por perdas de €2.500.000," disse a Europol mais cedo nesta semana.
Os fundos foram depositados em diversas contas espanholas e portuguesas controladas pelos fraudadores, de onde foram canalizados para um esquema elaborado de lavagem de dinheiro.
Uma extensa rede de mulas de dinheiro supervisionada por membros especialistas da organização foi utilizada para disfarçar a origem dos fundos ilícitos.
As prisões também seguem ações semelhantes realizadas pela INTERPOL para desmantelar redes de tráfico humano em vários países, incluindo o Laos, onde vários nacionais vietnamitas foram atraídos com promessas de empregos bem remunerados, apenas para serem coagidos a criar contas online fraudulentas para golpes financeiros.
"As vítimas trabalhavam 12 horas por dia, prorrogadas para 14 horas se falhassem em recrutar outros, e tinham seus documentos confiscados," disse a agência.
As famílias foram extorquidas em até USD $10.000 para garantir seu retorno ao Vietnã.
Na semana passada, a INTERPOL disse que também apreendeu $257 milhões em ativos e congelou 6.745 contas bancárias seguindo uma operação policial global que ocorreu em 61 países para interromper redes de golpes online e crime organizado.
O exercício, referido como Operação Primeira Luz, visou phishing, fraude de investimento, sites falsos de compras online, golpes de romance e de personificação.
Isso levou à prisão de 3.950 suspeitos e identificação de 14.643 outros possíveis suspeitos em todos os continentes.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...