Desde 2019, el grupo OPERA1ER, integrado por hackers de habla francesa, ha implementado con éxito más de 30 ciberataques contra varios bancos y empresas de telecomunicaciones ubicadas en América Latina, Asia y África. Gracias a todos estos hacks, los ciberdelincuentes han logrado robar más de 30 millones de dólares en cuatro años.
30 millones de euros robados en 4 años gracias a múltiples ciberataques dirigidos
De acuerdo a el informe especialistas de Group-IB, empresa especializada en ciberseguridad, OPERA1ER tiene la costumbre de utilizar las mismas técnicas para hackear a sus víctimas, lo que ha permitido identificar la mayoría de las fechorías que ha cometido el grupo. Los piratas informáticos han logrado robar $ 11 millones desde 2019 con certeza, pero los investigadores afirman que » se cree que la cantidad real supera los 30 millones de dólares, ya que algunas de las empresas afectadas por estos ataques no anunciaron públicamente que habían perdido dinero «.
Bancos, instituciones financieras, empresas especializadas en telecomunicaciones, estas son las tres categorías de organizaciones a las que apuntan los ciberdelincuentes de OPERA1ER. Todas estas empresas cubren al menos quince países diferentes: Argentina, Bangladesh, Benin, Burkina Faso, Camerún, Costa de Marfil, Gabón, Malí, Níger, Nigeria, Uganda, Paraguay, Senegal, Sierra Leona y Togo.
¿Cuál es el modus operandi de los hackers de OPERA1ER?
Para lograr sus fines, el grupo de ciberdelincuentes comienza sus ataques enviando correos electrónicos dirigidos a los empleados de una empresa. Estos correos electrónicos los alientan a ejecutar malware con el pretexto de que se trata de una actualización de seguridad. Al ejecutar el malware, el empleado en realidad está descargando un registrador de teclas, una herramienta que recuerda todas las palabras que un usuario escribe en su teclado. Así es como los piratas informáticos recopilan sutilmente la información de inicio de sesión de los empleados.
Con estos identificadores, los estafadores irrumpen en las cuentas y luego tienen acceso a las direcciones de correo electrónico de los administradores de la red interna de la empresa, a los que intentan atrapar de la misma forma, mediante el envío de un correo electrónico fraudulento. De este modo, obtienen acceso a la red y tienen acceso a los servicios de mensajería SWIFT, utilizados por los bancos y otras instituciones financieras para enviar o recibir detalles de las transacciones de sus clientes.
Más aún, los piratas informáticos no dudan en utilizar herramientas como Cobalt Strike o Metsploit para mantenerse conectados a la red el mayor tiempo posible, a menudo entre tres y doce meses. Para ser lo más discretos posible, utilizan la información bancaria que tienen para transferir dinero gradualmente a las cuentas que tienen, antes de retirarlos en efectivo a través de un cajero automático.
Un modus operandi que se ha refinado a lo largo de los años.
» Era obvio que el ataque fue muy sofisticado, organizado, coordinado y planificado durante un largo período. “, especifican los especialistas que afirman que no se ha desarrollado ningún malware para llevar a cabo estos ciberataques. Aunque el grupo existe desde 2016, esta técnica parece haberse desarrollado solo desde 2019 y varias empresas han sido atacadas dos veces. Para cubrir sus huellas, los delincuentes utilizaron VPN que les permiten obtener otra dirección IP ubicada al otro lado del mundo, lejos de su posición real.
Por tanto, parecería que los piratas informáticos actúan de forma que recuperan la información bancaria de clientes particulares o profesionales de un banco o una entidad financiera. OPERA1ER parece no haber recopilado nunca esta información con el fin de revenderla o divulgarla, a diferencia del ransomware, la técnica de ciberdelincuencia más extendida del momento.