{"id":354,"date":"2022-11-03T15:33:13","date_gmt":"2022-11-03T18:33:13","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=354"},"modified":"2022-11-03T15:33:13","modified_gmt":"2022-11-03T18:33:13","slug":"opera1er-00000000000000001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/opera1er-00000000000000001\/","title":{"rendered":"OPERA1ER. Jugando a ser Dios sin permiso"},"content":{"rendered":"

Group-IB, uno de los l\u00edderes mundiales en ciberseguridad con sede en Singapur, ha publicado hoy un nuevo informe, \u201c<\/strong>OPERA1ER. Jugando a ser Dios sin permiso\u201d, en colaboraci\u00f3n con los investigadores del Centro de Coordinaci\u00f3n Orange CERT.<\/strong><\/h2>\n

El informe profundiza en los ataques motivados financieramente del prol\u00edfico actor de amenazas de habla francesa, cuyo nombre en c\u00f3digo es OPERA1ER.<\/p>\n

A pesar de depender \u00fanicamente de herramientas “listas para usar”, la pandilla logr\u00f3 llevar a cabo m\u00e1s de 30 ataques exitosos contra bancos, servicios financieros y empresas de telecomunicaciones ubicadas principalmente en \u00c1frica entre 2018 y 2022.<\/p>\n

Se confirma que OPERA1ER rob\u00f3 en menos $11 millones, seg\u00fan estimaciones de Group-IB.<\/p>\n

Uno de los ataques de OPERA1ER involucr\u00f3 una vasta red de 400 cuentas mula para retiros de dinero fraudulentos.<\/p>\n

Los investigadores de la Unidad Europea de Inteligencia sobre Amenazas de Group-IB identificaron y se comunicaron con 16 organizaciones afectadas para que pudieran mitigar la amenaza y prevenir nuevos ataques de OPERA1ER.<\/p>\n

Este informe se complet\u00f3 en 2021 mientras el actor de amenazas permanec\u00eda activo.<\/p>\n

OPERA1ER not\u00f3 el creciente inter\u00e9s de Group-IB en su actividad y reaccion\u00f3 eliminando sus cuentas y cambiando algunos TTP para cubrir sus huellas.<\/p>\n

Group-IB decidi\u00f3 suspender la publicaci\u00f3n del informe y esperar hasta que el actor de amenazas reapareciera nuevamente, lo que sucedi\u00f3 en 2022.<\/p>\n

Por lo tanto, el informe contiene los Indicadores de Compromiso (IOC) relevantes para el per\u00edodo 2019-2021.<\/p>\n

Los \u00faltimos IOC y los objetivos de OPERA1ER se pueden encontrar en la publicaci\u00f3n del blog de Group-IB.<\/p>\n

Los cambios son peque\u00f1os y no afectan los resultados generales.<\/p>\n

A trav\u00e9s de la inteligencia de amenazas y el intercambio de recursos, Orange-CERT-CC y Group-IB pudieron comprender mejor el modus operandi del actor de amenazas.<\/p>\n

Todos los hallazgos se recopilaron en el informe para que la comunidad de ciberseguridad pudiera rastrear mejor la actividad de OPERA1ER y prevenir sus ataques en el futuro.<\/p>\n

Smooth OPERA1ER<\/strong><\/h3>\n

Los artefactos forenses digitales analizados por Group-IB y Orange luego de m\u00e1s de 30 intrusiones exitosas de OPERA1ER entre 2018 y 2022 ayudaron a rastrear las organizaciones afectadas en:<\/p>\n

Costa de Marfil, Mal\u00ed, Burkina Faso, Benin, Camer\u00fan, Bangladesh, Gab\u00f3n, Nigeria, Paraguay, Senegal, Sierra Leona, Uganda, Togo, Argentina.<\/p>\n

Muchas de las v\u00edctimas identificadas fueron atacadas con \u00e9xito dos veces, y luego su infraestructura se utiliz\u00f3 para atacar a otras organizaciones.<\/p>\n

Seg\u00fan la evaluaci\u00f3n de Group-IB, entre 2018 y 2022, OPERA1ER logr\u00f3 robar al menos $ 11 millones, y la cantidad real de da\u00f1os podr\u00eda llegar a $ 30 millones.<\/p>\n

\"OPERA1ER<\/a>
OPERA1ER TIMELINE<\/figcaption><\/figure>\n

OPERA1ER, tambi\u00e9n conocido con los nombres DESKTOP-group y Common Raven (SWIFT ISAC Security Bulletin, 23 de junio de 2021), se remonta a 2016 cuando registraron su dominio m\u00e1s antiguo conocido.<\/p>\n

En el nuevo informe, Group-IB pudo identificar elementos previamente no reconocidos de la infraestructura de la pandilla, incluidos sus dominios y direcciones IP de servidores de Comando y Control (C&C) recientemente implementados.<\/p>\n

Basado en una de las cuentas que la pandilla usa con frecuencia ahora para registrar dominios, Group-IB nombr\u00f3 en c\u00f3digo al actor de amenazas OPERA1ER.<\/p>\n

\"Rustam<\/a>
Rustam Mirkasymov, jefe de investigaci\u00f3n de amenazas cibern\u00e9ticas en Group-IB Europe habla sobre OPERA1ER<\/figcaption><\/figure>\n

\u201cEl an\u00e1lisis detallado de los ataques recientes de la pandilla revel\u00f3 un patr\u00f3n interesante en su modus operandi: OPERA1ER realiza ataques principalmente durante los fines de semana o d\u00edas festivos\u201d, dice Rustam Mirkasymov, jefe de investigaci\u00f3n de amenazas cibern\u00e9ticas en Group-IB Europe<\/strong>.<\/p>\n

\u201cSe correlaciona con el hecho de que pasan de 3 a 12 meses desde el acceso inicial al robo de dinero.<\/p>\n

Se estableci\u00f3 que el grupo de hackers de habla francesa podr\u00eda operar desde \u00c1frica. Se desconoce el n\u00famero exacto de pandilleros\u201d.<\/p>\n

No hay prisa por cobrar<\/strong><\/h3>\n

Una caracter\u00edstica distintiva del grupo es el uso de programas de c\u00f3digo abierto listos para usar, malware disponible gratuitamente en la web oscura y marcos de trabajo de equipos rojos populares, como Metasploit y Cobalt Strike.<\/p>\n

En al menos dos incidentes en diferentes bancos, los atacantes desplegaron servidores Metasploit dentro de la infraestructura comprometida.<\/p>\n

Debido a que la pandilla depende \u00fanicamente de herramientas p\u00fablicas, tienen que pensar fuera de la caja: en un incidente, analizado por Group-IB y Orange, OPERA1ER us\u00f3 un servidor de actualizaci\u00f3n antivirus implementado en la infraestructura como punto de pivote.<\/p>\n

OPERA1ER comienza sus ataques con correos electr\u00f3nicos de phishing de alta calidad dirigidos a un equipo espec\u00edfico dentro de una organizaci\u00f3n.<\/p>\n

La mayor\u00eda de sus mensajes est\u00e1n escritos en franc\u00e9s, desde notificaciones falsas de las oficinas de impuestos del gobierno hasta ofertas de contrataci\u00f3n de BCEAO<\/a> (El Banco Central de los Estados de \u00c1frica Occidental).<\/p>\n

Bajo la apariencia de archivos adjuntos leg\u00edtimos, OPERA1ER distribuye troyanos de acceso remoto, como Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, Venom RAT, as\u00ed como rastreadores y descargadores de contrase\u00f1as.<\/p>\n

\"Arquitectura<\/a>
Arquitectura de OPERA1ER<\/figcaption><\/figure>\n

Despu\u00e9s de obtener acceso, OPERA1ER extrae correos electr\u00f3nicos y documentos internos para usarlos en m\u00e1s ataques de phishing.<\/p>\n

Se toman el tiempo de estudiar cuidadosamente la documentaci\u00f3n interna para prepararse mejor para la etapa de cobro, ya que la mayor\u00eda de las v\u00edctimas de OPERA1ER usaban una plataforma de dinero digital compleja.<\/p>\n

La plataforma tiene tres T, AgentTesla, Remcos, Neutrino, BlackNET, Venom RAT, as\u00ed como rastreadores y descargadores de contrase\u00f1as.<\/p>\n

Despu\u00e9s de obtener acceso, OPERA1ER extrae correos electr\u00f3nicos y documentos internos para usarlos en m\u00e1s ataques de phishing.<\/p>\n

Se toman el tiempo de estudiar cuidadosamente la documentaci\u00f3n interna para prepararse mejor para la etapa de cobro, ya que la mayor\u00eda de las v\u00edctimas de OPERA1ER usaban una plataforma de dinero digital compleja.<\/p>\n

 <\/p>\n

 <\/p>\n

Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n

Lea m\u00e1s<\/p>\n

Ekoparty 2022: Enter the Metaverse encendio los motores WARP<\/a><\/p>\n

Ciber resiliencia en el siglo 21: las pymes pierden sustentabilidad<\/a><\/p>\n

OldGremlin 2022: el grupo de ransomware\u00a0 estableci\u00f3 nuevos r\u00e9cords<\/a><\/p>\n

Panorama de Amenazas 2022 de FortiGuard Labs<\/a><\/p>\n

Seguridad 2022: una visi\u00f3n hol\u00edstica de la red<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Group-IB, uno de los l\u00edderes mundiales en ciberseguridad con sede en Singapur, ha publicado hoy un nuevo informe, \u201cOPERA1ER. Jugando a ser Dios sin permiso\u201d, en colaboraci\u00f3n con los investigadores del Centro de Coordinaci\u00f3n Orange CERT. El informe profundiza en los ataques motivados financieramente del prol\u00edfico actor de amenazas de habla francesa, cuyo nombre en […]<\/p>\n","protected":false},"author":2,"featured_media":358,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[236,272],"class_list":["post-354","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-group-ib","tag-opera1er"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/354","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=354"}],"version-history":[{"count":3,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/354\/revisions"}],"predecessor-version":[{"id":361,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/354\/revisions\/361"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/358"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}