Operación Night Fury otro cibergang eliminado por Group IB

Operación Night Fury: Group-IB ayuda a eliminar un cibergang detrás de la infección de cientos de sitios web en todo el mundo

Los operadores de la familia de rastreadores de JavaScript, denominados «GetBilling» por Group-IB, que fueron protagonistas de la Operación Nigth Fury han sido arrestados en Indonesia.

El arresto se produjo como resultado de una articulación conjunta «Operación Night Fury » iniciada por la Mesa de Capacidades Cibernéticas de la ASEAN de INTERPOL (Mesa de la ASEAN) que involucró a la Policía Cibernética de Indonesia (BARESKRIM POLRI (Dittipidsiber)) y al Equipo de Investigaciones Cibernéticas APAC del Group IB.

La operación aún está en curso en otros cinco países de la ASEAN con los que también se compartió la inteligencia.

Este caso marca la primera operación exitosa de jurisdicción múltiple contra los operadores de rastreadores de JavaScript en la región.

Según los datos del Group IB, los sospechosos han logrado infectar cientos de sitios web de comercio electrónico en varios lugares, incluidos Indonesia, Australia, el Reino Unido, los Estados Unidos, Alemania, Brasil y algunos otros países.

Se han robado los pagos y los datos personales de miles de compradores en línea de Asia, Europa y América.

Los tres sospechosos con las iniciales «ANF» (27 años), «K» (35 años) y «N» (23 años) fueron arrestados en diciembre de 2019 en dos regiones diferentes en Indonesia: Región Especial de Yogyakarta y Región Capital Especial de Yakarta – como parte de la articulación conjunta de la «Operación Night Fury» llevada a cabo por la Policía Cibernética de Indonesia e INTERPOL con la ayuda del equipo de Investigaciones Cibernéticas del Group IB.

Durante la operación especial, la Policía Cibernética de Indonesia confiscó computadoras portátiles, teléfonos móviles de varias marcas, unidades de CPU, identificaciones, tokens BCA, tarjetas de cajero automático.

Los presuntos operadores de la familia de rastreadores de JavaScript GetBilling están acusados ​​del robo de datos electrónicos, que conlleva una pena de prisión de hasta 10 años de acuerdo con el código penal indonesio.

«Las alianzas sólidas y efectivas entre la policía y la industria de la seguridad cibernética son esenciales para garantizar que las fuerzas del orden en todo el mundo tengan acceso a la información que necesitan para abordar la escala y la complejidad del panorama actual de amenazas cibernéticas», dijo Craig Jones, Director de Cibercrimen de INTERPOL.

«Esta operación exitosa es solo un ejemplo de cómo la policía está trabajando con socios de la industria, adaptando y aplicando nuevas tecnologías para ayudar a las investigaciones y, en última instancia, reducir el impacto global del delito cibernético», concluyó el Sr. Jones.

«Hay muchos desafíos y obstáculos en las investigaciones de delitos transfronterizos de alta tecnología como esta», dice el superintendente de policía Idam Wasiadi, investigador de delitos cibernéticos en la Dirección de Cibercrimen del CID de la Policía Nacional de Indonesia.

“La Operación Night Fury demostró que estos obstáculos solo pueden superarse con una estrecha colaboración entre las fuerzas del orden nacionales, las organizaciones internacionales y las empresas privadas.

La coordinación efectiva de los esfuerzos entre múltiples jurisdicciones entre la Policía Cibernética de Indonesia, INTERPOL y el Group IB permitió atribuir los crímenes, establecer a los autores detrás del traficante de JS y arrestarlos.

Pero lo más importante es proteger a la comunidad y aumentar la conciencia pública sobre el problema del cibercrimen y su impacto”.

«Dado que el delito cibernético es una amenaza creciente en toda la región, INTERPOL lanzó el escritorio de la ASEAN para ayudar a los organismos encargados de hacer cumplir la ley a mejorar su respuesta proactiva contra el delito cibernético», dijo James Tan, Director Asistente Interino (Desarrollo de Estrategias y Capacidades).

«A través de esta operación, está claro que el intercambio oportuno de inteligencia y las acciones coordinadas son las formas de combatir eficazmente el delito cibernético a nivel regional y mundial», concluyó James Tan.

Sniffers de JavaScript (JS-sniffers) dirigidos a sitios web de comercio electrónico es un tipo de código JavaScript malicioso, diseñado para robar pagos de clientes y datos personales como números de tarjetas de crédito, nombres, direcciones, inicios de sesión, números de teléfono y credenciales de sistemas de pago, etc.

Group-IB ha estado rastreando a la familia SnB de GetBilling JS desde 2018

El análisis de la infraestructura que fue controlada por los operadores sospechosos de GetBilling arrestados en Indonesia, realizado por el equipo de Investigaciones Cibernéticas de Group-IB, reveló que han logrado infectar cerca de 200 sitios web en Indonesia, Australia, Europa, Estados Unidos, Sudamérica y otros países.

Sin embargo, la investigación en otros países de la ASEAN continúa, y es probable que el número de sitios web infectados con la familia GetBilling sea mayor.

Según la investigación, los sospechosos utilizaron los datos de pago robados para comprar bienes, como dispositivos electrónicos u otros artículos de lujo, que intentaron revender en línea en Indonesia por debajo del precio de mercado.

 

Fig. 1 Ejemplo de script malicioso de GetBilling

Fig. 1 Ejemplo de script malicioso de GetBilling

 

Fig. 2 Ejemplo de pago robado y datos personales almacenados en los servidores de GetBilling

Fig. 2 Ejemplo de pago robado y datos personales almacenados en los servidores de GetBilling

 

El equipo de Investigaciones Cibernéticas de Group IB determinó que parte de la infraestructura de GetBilling estaba ubicada en Indonesia.

Al descubrir esta información, la Mesa de ASEAN de INTERPOL notificó de inmediato a la policía cibernética de Indonesia.

 Más adentro La investigación descubrió que los operadores de GetBilling no eran nuevos en el mundo del cibercrimen.

Para acceder a sus servidores para la recolección de datos robados y el control de sus rastreadores JS, siempre usaban VPN para ocultar su ubicación e identidad reales.

Para pagar los servicios de alojamiento y comprar nuevos dominios, los miembros de la pandilla solo usaban tarjetas robadas.

A pesar de eso, la policía cibernética indonesia, en cooperación con INTEPROL y el equipo de Investigaciones Cibernéticas del Group IB, logró establecer que el grupo operaba desde Indonesia.

“Este caso mostró la naturaleza sin fronteras del delito cibernético: los operadores del traficante de JS vivían en un país atacando sitios web de comercio electrónico en todo el mundo.

Hace que la recopilación de pruebas, la identificación de sospechosos y el enjuiciamiento sean más complicados.

Otra cosa que el caso demostró vívidamente es que la cooperación internacional y el intercambio de datos de inteligencia cibernética pueden ayudar a abordar eficazmente las amenazas cibernéticas modernas «, dijo Vesta Matveeva, jefe del equipo de Investigaciones Cibernéticas APAC del Group-IB en la conferencia de prensa.

«Gracias a las acciones rápidas de la Policía Cibernética de Indonesia y de INTERPOL, Night Fury se convirtió en la primera operación exitosa de jurisdicción múltiple contra los operadores de rastreadores de JavaScript en la región APAC.

 Es un gran ejemplo del esfuerzo coordinado transfronterizo contra el cibercrimen, y estamos orgullosos de que nuestra inteligencia sobre amenazas y nuestra experiencia forense digital hayan ayudado a establecer a los sospechosos. Esperamos que esto establezca un precedente para la aplicación de la ley en otra jurisdicción también ”, agregó.

Al aprovechar su propia infraestructura para monitorear foros clandestinos y tiendas de tarjetas, Group-IB ha recopilado información completa sobre el mercado de tarjetas y es capaz de identificar varias anomalías.

Según el informe anual de amenazas de 2019 del Group IB, el número de tarjetas comprometidas que se cargan en foros clandestinos aumentó de 27.1 millones a 43.8 millones en H2 2108-H1 2019 año tras año.

El tamaño del mercado de tarjetas, a su vez, creció un 33 por ciento y ascendió a USD 879,7 millones.

La venta de datos CVV también está en aumento hoy, habiendo aumentado un 19 por ciento en el período correspondiente, y una de las razones clave detrás de esta tendencia podrían ser los rastreadores de JavaScript.

La familia GetBilling se describió por primera vez en el informe de 2019 del Group IB «Crimen sin castigo», que es una inmersión profunda en el mundo de los rastreadores de JS. Según el autor del informe, Viktor Okorokov, analista de inteligencia de amenazas del Group IB, en el momento de la publicación del informe, en total, el equipo de Inteligencia de amenazas del Group IB descubrió 38 familias de rastreadores JS.

Desde entonces, el número de familias JS-sniffer, descubierto por la compañía, casi se ha duplicado y continúa creciendo. Los rastreadores JS han causado muchos incidentes de seguridad en el pasado: la infección del sitio web y la aplicación móvil de British Airways, el ataque con tarjeta de pago en el sitio web del Reino Unido de la compañía internacional FILA, etc., y continúan ganando popularidad entre los cibercriminales.

Más recientemente, en diciembre de 2019, JS-sniffers llegó al APAC infectando los sitios web de la marca de moda de Singapur «Love, Bonito«.

Para evitar grandes pérdidas financieras debido a JS-sniffers, se recomienda que los usuarios en línea tengan una tarjeta prepaga separada para pagos en línea, establezcan límites de gasto en tarjetas, se usen para compras en línea o incluso usen una cuenta bancaria separada exclusivamente para compras en línea.

Los comerciantes en línea, a su vez, deben mantener actualizado su software y realizar evaluaciones periódicas de seguridad cibernética de sus sitios web.

 

Por Marcelo Lozano – General Publisher IT Connect Latam