0
0
Pelo menos 16 bancos africanos, serviços financeiros e empresas de telecomunicações foram identificados como vítimas do grupo de ameaças de língua francesa OPERA1ER, que roubou pelo menos US$ 11 milhões desde 2018.
Um novo relatório do Group-IB explica que acompanha as atividades da OPERA1ER desde 2019; no entanto, eles esperaram para publicar suas descobertas até que o grupo ressurgisse após uma pausa em 2021. Agora, a gangue está de volta à ação, explicam os analistas, permitindo que o Group-IB documente seus TTPs OPERA1ER de 2019 a 2021 , bem como a iteração mais recente em 2022 .
Os pesquisadores relataram que o OPERA1ER violou com sucesso os sistemas dos alvos pelo menos 30 vezes desde 2018. Como exemplo da sofisticação e coordenação do grupo, acrescentou o relatório, um dos ataques do grupo usou mais de 400 contas de mulas para fazer saques fraudulentos de dinheiro .
O grupo não usa malware exótico, na verdade, os pesquisadores disseram no relatório que a marca registrada do OPERA1ER é malware de código aberto facilmente acessível e estruturas de equipe vermelha cotidianas como Metasploit e Cobalt Strike. O OPERA1ER fornece Trojans de acesso remoto (RATs) por meio de iscas de phishing de e-mail em francês e leva seu tempo coletando informações sobre suas vítimas antes de “retirar”, acrescentou o relatório.
“A análise detalhada dos ataques recentes da gangue revelou um padrão interessante em seu modus operandi: o OPERA1ER realiza ataques principalmente durante os fins de semana ou feriados”, disse Rustam Mirkasymov, chefe de pesquisa de ameaças cibernéticas do Group-IB Europe, em comunicado. “Isso se correlaciona com o fato de que eles passam de três a 12 meses desde o acesso inicial ao roubo de dinheiro.”
Mirkasymov acrescentou que a gangue pode estar localizada fora da África e o número total de membros do grupo OPERA1ER é desconhecido.
FONTE: DARK READING