INTERPOL prende o líder da equipe de hackers OPERA1ER por trás de um cibercrime de 11 milhões de dólares
6 de Julho de 2023

Um suspeito membro sênior de uma equipe de hackers francófona conhecida como OPERA1ER foi preso como parte de uma operação internacional de aplicação da lei chamada Nervone, anunciou a Interpol.

]"O grupo é suspeito de ter roubado cerca de 11 milhões de dólares - potencialmente até 30 milhões - em mais de 30 ataques em 15 países da África, Ásia e América Latina", afirmou a agência.

A prisão foi feita pelas autoridades da Costa do Marfim no início do mês passado.

Informações adicionais foram fornecidas pela Divisão de Investigação Criminal do Serviço Secreto dos Estados Unidos e pela Booz Allen Hamilton DarkLabs.

O coletivo com motivação financeira também é conhecido pelos pseudônimos Common Raven, DESKTOP-GROUP e NX$M$.

Sua forma de operação foi exposta pela primeira vez pela Group-IB e pelo Centro de Coordenação CERT Orange (Orange-CERT-CC) em novembro de 2022, detalhando suas invasões em bancos, serviços financeiros e empresas de telecomunicações entre março de 2018 e outubro de 2022.

No início de janeiro, a Symantec da Broadcom afirmou ter descoberto uma série de ataques direcionados ao setor financeiro em países francófonos localizados na África, pelo menos de julho de 2022 a setembro de 2022.

A empresa afirmou que a atividade, que rastreia como Bluebottle, tem um grau de cruzamento com a OPERA1ER.

Os ataques realizados pelo grupo têm utilizado iscas de spear-phishing que desencadeiam uma série de eventos que eventualmente levam ao uso de ferramentas de pós-exploração, como Cobalt Strike e Metasploit, e trojans de acesso remoto prontos para uso, que possuem várias funcionalidades para roubar dados sensíveis.

A OPERA1ER também foi observada mantendo acesso a redes comprometidas por um período que varia de três a doze meses, ocasionalmente direcionando a mesma empresa várias vezes.

"A maioria das mensagens foi escrita em francês e imitava notificações falsas de escritório de impostos ou ofertas de contratação", afirmou a Group-IB.

"A OPERA1ER conseguiu ter acesso a sistemas de pagamento internos usados pelas organizações afetadas e aproveitou isso para retirar fundos."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...