Um suspeito membro sênior de uma equipe de hackers francófona conhecida como OPERA1ER foi preso como parte de uma operação internacional de aplicação da lei chamada Nervone, anunciou a Interpol.
]"O grupo é suspeito de ter roubado cerca de 11 milhões de dólares - potencialmente até 30 milhões - em mais de 30 ataques em 15 países da África, Ásia e América Latina", afirmou a agência.
A prisão foi feita pelas autoridades da Costa do Marfim no início do mês passado.
Informações adicionais foram fornecidas pela Divisão de Investigação Criminal do Serviço Secreto dos Estados Unidos e pela Booz Allen Hamilton DarkLabs.
O coletivo com motivação financeira também é conhecido pelos pseudônimos Common Raven, DESKTOP-GROUP e NX$M$.
Sua forma de operação foi exposta pela primeira vez pela Group-IB e pelo Centro de Coordenação CERT Orange (Orange-CERT-CC) em novembro de 2022, detalhando suas invasões em bancos, serviços financeiros e empresas de telecomunicações entre março de 2018 e outubro de 2022.
No início de janeiro, a Symantec da Broadcom afirmou ter descoberto uma série de ataques direcionados ao setor financeiro em países francófonos localizados na África, pelo menos de julho de 2022 a setembro de 2022.
A empresa afirmou que a atividade, que rastreia como Bluebottle, tem um grau de cruzamento com a OPERA1ER.
Os ataques realizados pelo grupo têm utilizado iscas de spear-phishing que desencadeiam uma série de eventos que eventualmente levam ao uso de ferramentas de pós-exploração, como Cobalt Strike e Metasploit, e trojans de acesso remoto prontos para uso, que possuem várias funcionalidades para roubar dados sensíveis.
A OPERA1ER também foi observada mantendo acesso a redes comprometidas por um período que varia de três a doze meses, ocasionalmente direcionando a mesma empresa várias vezes.
"A maioria das mensagens foi escrita em francês e imitava notificações falsas de escritório de impostos ou ofertas de contratação", afirmou a Group-IB.
"A OPERA1ER conseguiu ter acesso a sistemas de pagamento internos usados pelas organizações afetadas e aproveitou isso para retirar fundos."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...