Un presunto miembro de alto rango de un equipo de piratería de habla francesa conocido como OPERA1ER ha sido arrestado como parte de una operación policial internacional con nombre en código Nervone, anunció Interpol.
«Se cree que el grupo robó aproximadamente USD 11 millones, potencialmente hasta 30 millones, en más de 30 ataques en 15 países de África, Asia y América Latina», dijo la agencia. dicho.
El arresto fue realizado por las autoridades de Costa de Marfil a principios del mes pasado. La División de Investigación Criminal del Servicio Secreto de EE. UU. y Booz Allen Hamilton DarkLabs proporcionaron información adicional.
El colectivo motivado financieramente también es conocido por los alias Common Raven, DESKTOP-GROUP y NX$M$. Su modus operandi fue expuesto por primera vez por Group-IB y Orange CERT Coordination Center (Orange-CERT-CC) en noviembre de 2022, detallando sus intrusiones en bancos, servicios financieros y empresas de telecomunicaciones entre marzo de 2018 y octubre de 2022.
🔐 Gestión de acceso privilegiado: aprenda a superar desafíos clave
Descubra diferentes enfoques para conquistar los desafíos de la gestión de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.
A principios de enero, Symantec de Broadcom dijo que descubrió una serie de ataques dirigidos contra el sector financiero en países francófonos ubicados en África desde al menos julio de 2022 hasta septiembre de 2022. La compañía dijo que la actividad, que rastrea como Bluebottle, tiene un grado de cruce con OPERADOR.
Las cadenas de ataque montadas por el grupo han aprovechado los señuelos de phishing selectivo que desencadenan una cadena de eventos que eventualmente conduce al despliegue de herramientas posteriores a la explotación como Cobalt Strike y Metasploit y troyanos de acceso remoto listos para usar, que se adaptan a varias funcionalidades para robar datos confidenciales.
También se ha observado que OPERA1ER mantiene el acceso a las redes comprometidas durante un período que oscila entre los tres y los doce meses, y que en ocasiones se dirige a la misma empresa varias veces.
«La mayoría de los mensajes estaban escritos en francés e imitaban notificaciones falsas de la oficina de impuestos u ofertas de contratación», Group-IB dicho. «OPERA1ER pudo obtener acceso a los sistemas de pago internos utilizados por las organizaciones afectadas y aprovechó esto para retirar fondos».