INTERPOL y Group-IB identifican a la red BEC de Nigeria

Group-IB, respaldó una investigación dirigida por INTERPOL denominada «Operación Falcon» dirigida a la banda de ciberdelitos de compromiso de correo electrónico empresarial (BEC) de Nigeria.

Un esfuerzo transfronterizo contra el delito cibernético que involucró a la Dirección de Delitos Cibernéticos de INTERPOL, la Fuerza de Policía de Nigeria y el Equipo de Investigaciones Cibernéticas APAC del Group-IB resultó en el arresto de tres personas en Lagos.

Desde al menos 2017, la prolífica banda cibercriminal comprometió al menos a 500.000 actores entre empresas gubernamentales y del sector privado en más de 150 países.

La investigación continúa ya que algunos de los cibercriminalesz siguen prófugos.

Business Email Compromise (BEC) es un tipo de ataque de phishing por correo electrónico que se basa en la ingeniería social. Como parte de BEC, los correos electrónicos de phishing pueden dirigirse a personas específicas dentro de una organización o enviarse en masa.

A menudo disfrazados de solicitudes de transferencia de dinero, comunicaciones de RR.HH. o propuestas comerciales, su objetivo es robar datos confidenciales.

Los 3 cibercriminales BEC con las iniciales “OC” (32 años), “IO” (34 años) y “OI” (35 años), identificados con la ayuda de los equipos de Ciber Investigaciones del Group-IB y CERT-GIB, han fue arrestado en Lagos no hace mucho por la unidad de policía de delitos informáticos de Nigeria como parte de la operación Falcon.

Los datos descubiertos en los dispositivos de los miembros de TMT arrestados han confirmado su participación en el plan criminal e identificado datos robados de al menos 50.000 víctimas objetivo, según la Policía de Nigeria.

 

Cortesía de Interpol
Cortesía de Interpol

Group-IB ha estado rastreando a este grupo cibercriminal desde 2019 y estableció que alrededor de 500,000 empresas gubernamentales y del sector privado podrían haber sido comprometidas por miembros de pandillas de TMT.

Basándose en la infraestructura que usan los atacantes y sus técnicas, el Group-IB también pudo establecer que la pandilla está dividida en subgrupos con una cantidad de individuos aún en libertad.

Los hallazgos sobre otros presuntos miembros de pandillas, a quienes Group-IB pudo localizar, se han compartido con la Dirección de Ciberdelincuencia de INTERPOL.

Continúa la investigación

El análisis de sus operaciones reveló que la pandilla se centra en campañas masivas de phishing por correo electrónico que distribuyen cepas de malware populares con el pretexto de órdenes de compra, consultas de productos e incluso ayuda COVID-19 haciéndose pasar por empresas legítimas.

Fig.2 Muestra del correo electrónico de phishing de TMT
Fig.2 Muestra del correo electrónico de phishing de TMT

Los atacantes utilizan Gammadyne Mailer y Turbo-Mailer para enviar correos electrónicos de phishing.

MailChimp se utiliza para rastrear si la víctima del destinatario ha abierto el mensaje.

Fig.3 Gammadyne Mailer utilizado por los ciberdelincuentes
Fig.3 Gammadyne Mailer utilizado por los ciberdelincuentes

 

También se vio a la pandilla usando una cuenta de correo electrónico comprometida anteriormente para impulsar una nueva ronda de intentos de phishing. Las muestras de correo electrónico descubiertas, detectadas y analizadas por Group-IB Threat Hunting Framework, se crearon en inglés, ruso, español y otros idiomas, según la lista de objetivos de los estafadores.

Fig.4 El ejemplo de los datos comprometidos de los registros de los ciberdelincuentes
Fig.4 El ejemplo de los datos comprometidos de los registros de los ciberdelincuentes

Los investigadores de Group-IB señalan que los ciberdelincuentes detrás de estas operaciones BEC dependen exclusivamente de una variedad de software espía y troyanos de acceso remoto (RAT) disponibles públicamente, como AgentTesla, Loky, AzoRult, Pony, NetWire, etc. Para evitar la detección y el seguimiento herramientas de seguridad que la pandilla utiliza en criptadores públicos. La mayoría de las veces, el malware operado por TMT se comunica con el servidor C&C de los atacantes mediante protocolos SMTP, FTP, HTTP.

El objetivo de sus ataques es robar datos de autenticación de navegadores, correo electrónico y clientes FTP. En el transcurso de sus operaciones, la pandilla logró infectar organizaciones de todo el mundo, incluidos los EE. UU., El Reino Unido, Singapur, Japón e incluso en Nigeria, según los datos de Group-IB.

CyberCrimeCon 2020      CybercrimeCON 2020

Si bien aún se están investigando los métodos de monetización de esta pandilla, no es raro que los ciberdelincuentes vendan el acceso a la cuenta, así como los datos confidenciales extraídos de los correos electrónicos al mejor postor en los mercados clandestinos.

 

Craig Jones, Director de Ciberdelincuencia de INTERPOL, destacó la excelente cooperación entre todos los involucrados en la investigación y subrayó la importancia de las relaciones público-privadas para interrumpir los delitos virtuales. “Este grupo tenía un modelo empresarial criminal bien establecido. Desde la infiltración hasta el cobro, utilizaron una multitud de herramientas y técnicas para generar las máximas ganancias. Esperamos ver resultados adicionales de esta operación ”, dijo.

“Esta operación transfronteriza demostró una vez más que solo la colaboración efectiva entre las empresas de ciberseguridad del sector privado y la aplicación de la ley internacional puede llevar a los malhechores ante la justicia”, comenta Vesta Matveeva, jefe del equipo de ciberinvestigaciones de Group-IB APAC. “Permite superar las diferencias regulatorias entre países que impiden el intercambio de datos de inteligencia sobre amenazas. Si bien se están realizando más investigaciones, estamos orgullosos de lo que hemos podido lograr gracias a los esfuerzos coordinados.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

 

85 / 100