Home Ciberguerra Una campaña de ciberdelincuencia de cuatro años dirigida a los bancos africanos,...

Una campaña de ciberdelincuencia de cuatro años dirigida a los bancos africanos, se saldó con 30 millones de dólares

Expertos en seguridad han descubierto una campaña APT de larga duración llevada a cabo por un grupo de amenazas de habla francesa que ha robado al menos 11 millones de dólares a bancos y empresas de telecomunicaciones durante un período de cuatro años.

Group-IB ha bautizado al grupo como “OPERA1ER”, aunque anteriormente se le conocía con los nombres de “DESKTOP-group” y “Common Raven”.

La empresa de inteligencia sobre amenazas se asoció con el Centro de Coordinación CERT de Orange para elaborar el informe, OPERA1ER. Jugando a Dios sin permiso.

Entre 2018 y 2022, la banda logró robar al menos 11 millones de dólares, y la cantidad real de daños podría ser de hasta 30 millones de dólares, informa Group-IB. Las víctimas han sido empresas de servicios financieros y de telecomunicaciones en Argentina, Bangladesh, Burkina Faso, Camerún, Gabón, Costa de Marfil, Malí, Níger, Nigeria, Paraguay, Senegal, Sierra Leona, Togo y Uganda. Los investigadores afirman que el grupo prefiere atacar a las víctimas los fines de semana o durante los días festivos.

“El análisis detallado de los ataques recientes de la banda reveló un patrón interesante en su modus operandi: OPERA1ER lleva a cabo ataques principalmente durante los fines de semana o los días festivos”, dijo Rustam Mirkasymov, jefe de investigación de ciberamenazas en Group-IB Europe.

“Se correlaciona con el hecho de que pasa de tres a 12 meses desde el acceso inicial hasta el robo de dinero. Se ha establecido que el grupo de ciberdelincuentes francófonos podría operar desde África. Se desconoce el número exacto de miembros de la banda”.

El grupo utilizó malware de libre acceso y marcos de trabajo de red como Metasploit y Cobalt Strike para lograr sus fines.

Los ataques comienzan con un correo electrónico de spear-phishing muy dirigido, cargado con un archivo adjunto con una trampa, que podría esconder un troyano de acceso remoto (RAT) como Netwire, bitrat, venomRAT, AgentTesla o Neutrino, así como sniffers y dumpers de contraseñas.

Este acceso conduce a la exfiltración de correos electrónicos y documentos internos que luego se estudian para utilizarlos en futuros ataques de phishing. Los documentos también ayudaron a los atacantes a entender la compleja plataforma de pagos digitales utilizada por las organizaciones víctimas, según el informe.

Utilizando credenciales robadas de cuentas internas, los ciberpiratas aparentemente transfirieron fondos de cuentas de “operadores” que contenían grandes sumas de dinero, a cuentas de “usuarios del canal” y luego a cuentas de “abonados” bajo su control.

A continuación, el grupo cobraba los fondos a través de cajeros automáticos, incluida una incursión en la que lo hicieron a través de una red de más de 400 cuentas de abonados controladas por mulas de dinero reclutadas con meses de antelación.

En un caso, los piratas informáticos consiguieron acceder al software de la interfaz de mensajería SWIFT de un banco víctima, mientras que en otro secuestraron un servidor de SMS que podría haber sido utilizado para eludir los mecanismos antifraude o cobrar el dinero a través de sistemas de pago o de banca móvil, según el informe.