Operación Lyrebird: atrapan por 1era vez al Dr. HeX

Dr. HeX cae en la operación Operación Lyrebird

Dr. HeX cae en la operación Operación Lyrebird

Operación Lyrebird: Group-IB ayuda a INTERPOL a identificar al sospechoso de numerosos delitos cibernéticos en todo el mundo

 

Group-IB, uno de los principales proveedores de soluciones dedicadas a la detección y prevención de ciberataques, la identificación de fraudes en línea, la investigación de delitos de alta tecnología y la protección de la propiedad intelectual.

Ha apoyado a INTERPOL en su operación Lyrebird que resultó en la identificación y aprehensión de un actor de amenazas presuntamente responsable de múltiples ataques.

Incluso contra compañías de telecomunicaciones francesas, los principales bancos del condado y corporaciones multinacionales, luego de una investigación de dos años.

El presunto perpetrador, que resultó ser ciudadano de Marruecos, fue detenido en mayo por la policía marroquí.

En base a los datos sobre sus ciberdelitos facilitados por Group-IB.

Según el equipo de Inteligencia de Amenazas de Group-IB, el sospechoso, apodado Dr HeX por Group-IB en base a uno de los apodos que usó.

Ha estado activo desde al menos 2009 y es responsable de una serie de delitos cibernéticos, incluidos phishing, desfiguración, desarrollo de malware, fraude y carding que resultó en miles de víctimas desprevenidas.

El punto de partida de la investigación de Group-IB para identificar y desanonimizar al ciberdelincuente fue la extracción de un kit de phishing (una herramienta utilizada para crear páginas web de phishing) que explota la marca de un gran banco francés mediante el sistema Threat Intelligence & Attribution de Group-IB.

La configuración del kit de phishing detectado siguió una técnica común, con la creación de un sitio web falsificado de una empresa objetivo, la distribución masiva de correos electrónicos haciéndose pasar por él y pidiendo a los usuarios que ingresen información de inicio de sesión en el sitio falsificado.

Las credenciales dejadas por las víctimas desprevenidas en la página falsa fueron redirigidas al correo electrónico del perpetrador.

Casi todos los scripts contenidos en el kit de phishing tenían el apodo de su creador:

Dr. HeX, y la dirección de correo electrónico de contacto.

IT CONNECT

Información de valor para funcionarios que toman decisiones de gobierno

El correo electrónico mencionado en el kit de phishing permitió a los analistas de inteligencia de amenazas de Group-IB encontrar el canal de YouTube del presunto atacante registrado con el mismo nombre:

Dr. HeX.

En la descripción de uno de los videos, el atacante dejó un enlace que conduce a una plataforma de financiación colectiva en árabe, que permitió a los investigadores de Group-IB registrar otro nombre asociado con el ciberdelincuente. Según el análisis de datos de DNS, este nombre se utilizó para registrar al menos dos dominios, que se crearon utilizando el correo electrónico del kit de phishing.

Utilizando su tecnología de análisis de red de gráficos patentada, los investigadores de Group-IB construyeron un gráfico de red, basado en la dirección de correo electrónico del kit de phishing, que mostraba otros elementos de la infraestructura maliciosa del actor de amenazas empleada por él en varias campañas junto con sus páginas personales.

Se identificaron un total de cinco direcciones de correo electrónico asociadas con el acusado, junto con seis apodos.

También sus cuentas en Skype, Facebook, Instagram y Youtube.

El análisis más detallado de la huella digital del Dr. Hex reveló su asociación con otras actividades maliciosas.

Durante el período de 2009 a 2018, el actor de amenazas desfiguró más de 130 páginas web.

Dr. HeX arrestado en la Operación Lyrebird

Los analistas de Group-IB también han encontrado publicaciones del ciberdelincuente en varias plataformas clandestinas populares destinadas al comercio de malware que indican la participación de este último en el desarrollo de malware.

Además, Group-IB también ha descubierto evidencia que sugiere la participación del Dr. Hex en ataques a varias grandes corporaciones francesas con el objetivo de robar los datos de las tarjetas bancarias de los clientes.

En el marco de la Operación pájaro lira, el Grupo IB trabajó en estrecha colaboración con la Dirección de Delitos Cibernéticos de INTERPOL, que, a su vez, cooperó con la Policía de Marruecos a través de la Oficina Central Nacional de INTERPOL en Rabat para localizar y detener a la persona que sigue siendo investigada.

“Este es un éxito significativo contra un sospechoso acusado de atacar a personas y empresas desprevenidas en varias regiones durante años, y el caso destaca la amenaza que representa el ciberdelito en todo el mundo”, comenta Stephen Kavanagh, Director Ejecutivo de Servicios de Policía de INTERPOL. “El arresto de este sospechoso se debe a un excelente trabajo de investigación internacional y nuevas formas de colaboración tanto con la policía marroquí como con nuestros socios vitales del sector privado, como Group-IB”.

“Al tener tolerancia cero al ciberdelito, Group-IB siempre ha enfatizado su enfoque no solo en proteger a nuestros clientes contra los ciberataques, sino también en identificar a los perpetradores detrás de ellos para asegurarse de que sean debidamente castigados”, comenta el director de tecnología de Group-IB, Dmitry Volkov. “La operación Lyrebird es otro ejemplo de una fuerte cooperación coordinada entre las agencias internacionales de aplicación de la ley, la policía regional y los actores de la seguridad cibernética. Estos son la cooperación internacional, el intercambio de datos y la larga experiencia en investigaciones cibernéticas que ayudan a Group-IB a llevar su trabajo a una conclusión lógica:

Llevar a los ciberdelincuentes ante la justicia.

A lo largo de años de cooperación exitosa entre INTERPOL y Group-IB, hemos sido un ejemplo de sinergia entre el sector privado y fuerzas policiales que garantiza que el delito cibernético no está exento de castigo “.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Lea más

Estafas Globales 2021: el mundo atraviesa por una Scamdemia

Seguridad post pandemia: 8 claves para comercio

DLP: No todos los sistemas son útiles en la nueva realidad 2021

Pablo Lopez Kazelian: los secretos hackers 2021 no revelados

TheHive Reloaded: 4.1.0 ya está disponible

 

Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, Operación Lyrebird, 

95 / 100