Sonntag, Dezember 4, 2022

Französischsprachige Voleurs haben Banken in 15 Ländern im Wert von 30 Millionen Dollar ausgeraubt, Cyber-Überfall im Telekommunikationssektor

Laut Sicherheitsforschern hat eine französischsprachige kriminelle Gruppe mit dem Codenamen OPERA1ER mehr als 30 Cyber-Überfälle auf Telekommunikationsunternehmen und Banken in Afrika, Asien und Lateinamerika durchgeführt und dabei in vier Jahren mehr als 30 Millionen Dollar gestohlen.

Die Raubüberfälle beginnen mit gezielten E-Mails, die Mitarbeiter dieser Unternehmen dazu verleiten, Backdoor-Malware, Keylogger und Passwortdiebe auszuführen, so das Threat-Intelligence-Team von Group-IB in Zusammenarbeit mit dem CERT Coordination Center des französischen Telekommunikationsunternehmens Orange. Betrüger verwenden die von dieser bösartigen Software gestohlenen Anmeldeinformationen, um Anmeldeinformationen auf Administratorebene für Windows-Domänencontroller im Netzwerk und Bank-Back-End-Anwendungen wie ihre SWIFT-Messaging-Clients zu erhalten, die Finanzinstitute verwenden, um Transaktionsdetails voneinander zu senden und zu empfangen.

Nach dem anfänglichen Eindringen verwenden die heimlichen und raffinierten Betreiber Tools wie Cobalt Strike und Metasploit, um die Persistenz aufrechtzuerhalten und drei bis zwölf Monate im Netzwerk zu bleiben, indem sie das Geld der Leute geschickt zwischen den Konten bewegen, bevor sie Gelder von Geldautomaten abheben.

Bei einem Überfall „wurde ein Netzwerk von mehr als 400 Mule-Abonnentenkonten verwendet, um gestohlene Gelder meist über Nacht schnell über Geldautomaten auszuzahlen“, schrieben Forscher diesen Monat in einem Bericht. Nach weiteren Untersuchungen stellten Analysten fest, dass die Money Mules bis zu drei Monate zuvor rekrutiert worden waren, fügten sie hinzu. „Es war offensichtlich, dass der Angriff sehr ausgeklügelt, organisiert, koordiniert und über einen langen Zeitraum geplant war.“

Die Bande verbreitete keine maßgeschneiderte Malware und verwendete stattdessen Open-Source-Code neben Tools, die sie kostenlos im Darknet finden konnten.

„Mit dem Basis-Toolkit ‚out of the box‘ hat OPERA1ER bestätigt, dass es seit 2019 mindestens 11 Millionen Dollar gestohlen hat“, heißt es in dem Bericht. „Aber der tatsächliche Betrag wird auf mehr als 30 Millionen US-Dollar geschätzt, da einige der kompromittierten Unternehmen die Tatsache des Geldverlusts nicht bestätigt haben.“

Viele der betroffenen Unternehmen wurden zweimal gehackt, und die Betrüger haben die Infrastruktur dieser Unternehmen genutzt, um andere Organisationen anzugreifen. Außerdem haben Kriminelle VPNs verwendet, um ihre Spuren zu verwischen.

Während die älteste Domain, die von der Gruppe registriert und für ihre kriminellen Aktivitäten verwendet wurde, im Jahr 2016 erstellt wurde, verfolgt der Bericht kriminelle Aktivitäten von 2018 bis 2022.

Zu den in diesem Zeitraum betroffenen Banken, anderen Finanzinstituten und Telekommunikationsunternehmen gehören mindestens 15 Länder: Elfenbeinküste, Mali, Burkina Faso, Benin, Kamerun, Bangladesch, Gabun, Niger, Nigeria, Paraguay, Senegal, Sierra Leone, Uganda, Togo und Argentinien .

Andere Sicherheitsforscher haben einige der Kampagnen der Bande im Laufe der Jahre verfolgt, darunter Tom Ueltschi, der die Bösewichte DESKTOP-Group nannte. Group-IB bemerkte auch, dass SWIFT die Bande als Common Raven verfolgt. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles