Group-IB, uno de los líderes mundiales en ciberseguridad con sede en Singapur, ha publicado hoy un nuevo informe, “OPERA1ER. Jugando a ser Dios sin permiso”, en colaboración con los investigadores del Centro de Coordinación Orange CERT.
El informe profundiza en los ataques motivados financieramente del prolífico actor de amenazas de habla francesa, cuyo nombre en código es OPERA1ER.
A pesar de depender únicamente de herramientas “listas para usar”, la pandilla logró llevar a cabo más de 30 ataques exitosos contra bancos, servicios financieros y empresas de telecomunicaciones ubicadas principalmente en África entre 2018 y 2022.
Se confirma que OPERA1ER robó en menos $11 millones, según estimaciones de Group-IB.
Uno de los ataques de OPERA1ER involucró una vasta red de 400 cuentas mula para retiros de dinero fraudulentos.
Los investigadores de la Unidad Europea de Inteligencia sobre Amenazas de Group-IB identificaron y se comunicaron con 16 organizaciones afectadas para que pudieran mitigar la amenaza y prevenir nuevos ataques de OPERA1ER.
Este informe se completó en 2021 mientras el actor de amenazas permanecía activo.
OPERA1ER notó el creciente interés de Group-IB en su actividad y reaccionó eliminando sus cuentas y cambiando algunos TTP para cubrir sus huellas.
Group-IB decidió suspender la publicación del informe y esperar hasta que el actor de amenazas reapareciera nuevamente, lo que sucedió en 2022.
Por lo tanto, el informe contiene los Indicadores de Compromiso (IOC) relevantes para el período 2019-2021.
Los últimos IOC y los objetivos de OPERA1ER se pueden encontrar en la publicación del blog de Group-IB.
Los cambios son pequeños y no afectan los resultados generales.
A través de la inteligencia de amenazas y el intercambio de recursos, Orange-CERT-CC y Group-IB pudieron comprender mejor el modus operandi del actor de amenazas.
Todos los hallazgos se recopilaron en el informe para que la comunidad de ciberseguridad pudiera rastrear mejor la actividad de OPERA1ER y prevenir sus ataques en el futuro.
Smooth OPERA1ER
Los artefactos forenses digitales analizados por Group-IB y Orange luego de más de 30 intrusiones exitosas de OPERA1ER entre 2018 y 2022 ayudaron a rastrear las organizaciones afectadas en:
Costa de Marfil, Malí, Burkina Faso, Benin, Camerún, Bangladesh, Gabón, Nigeria, Paraguay, Senegal, Sierra Leona, Uganda, Togo, Argentina.
Muchas de las víctimas identificadas fueron atacadas con éxito dos veces, y luego su infraestructura se utilizó para atacar a otras organizaciones.
Según la evaluación de Group-IB, entre 2018 y 2022, OPERA1ER logró robar al menos $ 11 millones, y la cantidad real de daños podría llegar a $ 30 millones.
OPERA1ER, también conocido con los nombres DESKTOP-group y Common Raven (SWIFT ISAC Security Bulletin, 23 de junio de 2021), se remonta a 2016 cuando registraron su dominio más antiguo conocido.
En el nuevo informe, Group-IB pudo identificar elementos previamente no reconocidos de la infraestructura de la pandilla, incluidos sus dominios y direcciones IP de servidores de Comando y Control (C&C) recientemente implementados.
Basado en una de las cuentas que la pandilla usa con frecuencia ahora para registrar dominios, Group-IB nombró en código al actor de amenazas OPERA1ER.
“El análisis detallado de los ataques recientes de la pandilla reveló un patrón interesante en su modus operandi: OPERA1ER realiza ataques principalmente durante los fines de semana o días festivos”, dice Rustam Mirkasymov, jefe de investigación de amenazas cibernéticas en Group-IB Europe.
“Se correlaciona con el hecho de que pasan de 3 a 12 meses desde el acceso inicial al robo de dinero.
Se estableció que el grupo de hackers de habla francesa podría operar desde África. Se desconoce el número exacto de pandilleros”.
No hay prisa por cobrar
Una característica distintiva del grupo es el uso de programas de código abierto listos para usar, malware disponible gratuitamente en la web oscura y marcos de trabajo de equipos rojos populares, como Metasploit y Cobalt Strike.
En al menos dos incidentes en diferentes bancos, los atacantes desplegaron servidores Metasploit dentro de la infraestructura comprometida.
Debido a que la pandilla depende únicamente de herramientas públicas, tienen que pensar fuera de la caja: en un incidente, analizado por Group-IB y Orange, OPERA1ER usó un servidor de actualización antivirus implementado en la infraestructura como punto de pivote.
OPERA1ER comienza sus ataques con correos electrónicos de phishing de alta calidad dirigidos a un equipo específico dentro de una organización.
La mayoría de sus mensajes están escritos en francés, desde notificaciones falsas de las oficinas de impuestos del gobierno hasta ofertas de contratación de BCEAO (El Banco Central de los Estados de África Occidental).
Bajo la apariencia de archivos adjuntos legítimos, OPERA1ER distribuye troyanos de acceso remoto, como Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, Venom RAT, así como rastreadores y descargadores de contraseñas.
Después de obtener acceso, OPERA1ER extrae correos electrónicos y documentos internos para usarlos en más ataques de phishing.
Se toman el tiempo de estudiar cuidadosamente la documentación interna para prepararse mejor para la etapa de cobro, ya que la mayoría de las víctimas de OPERA1ER usaban una plataforma de dinero digital compleja.
La plataforma tiene tres T, AgentTesla, Remcos, Neutrino, BlackNET, Venom RAT, así como rastreadores y descargadores de contraseñas.
Después de obtener acceso, OPERA1ER extrae correos electrónicos y documentos internos para usarlos en más ataques de phishing.
Se toman el tiempo de estudiar cuidadosamente la documentación interna para prepararse mejor para la etapa de cobro, ya que la mayoría de las víctimas de OPERA1ER usaban una plataforma de dinero digital compleja.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más
Ekoparty 2022: Enter the Metaverse encendio los motores WARP
Ciber resiliencia en el siglo 21: las pymes pierden sustentabilidad
OldGremlin 2022: el grupo de ransomware estableció nuevos récords