Un actor de amenazas de habla francesa apodado OPERADOR se ha relacionado con una serie de más de 30 ciberataques exitosos dirigidos a bancos, servicios financieros y empresas de telecomunicaciones en África, Asia y América Latina entre 2018 y 2022.
Según la empresa de ciberseguridad Group-IB, con sede en Singapur, los ataques han provocado robos por un total de 11 millones de dólares, y se estima que los daños reales ascienden a 30 millones de dólares.
Algunos de los ataques más recientes en 2021 y 2021 se han centrado en cinco bancos diferentes en Burkina Faso, Benin, Costa de Marfil y Senegal. Se dice que muchas de las víctimas identificadas fueron comprometidas dos veces, y su infraestructura posteriormente armada para atacar a otras organizaciones.
Se sabe que OPERA1ER, también conocido con los nombres DESKTOP-GROUP, Common Raven y NXSMS, está activo desde 2016, operando con el objetivo de realizar atracos con fines financieros y exfiltración de documentos para su uso posterior en ataques de phishing.
«OPERA1ER a menudo opera durante los fines de semana y días festivos», dijo Group-IB en un reporte compartido con The Hacker News, agregando que «todo el arsenal del adversario se basa en programas de código abierto y troyanos, o RAT publicados de forma gratuita que se pueden encontrar en la web oscura».
Esto incluye malware comercial como Nanocore, Netwire, Agent Teslam Venom RAT, BitRAT, Metasploit y Cobalt Strike Beacon, entre otros.
La cadena de ataque comienza con «correos electrónicos de phishing selectivo de alta calidad» con señuelos relacionados con facturas y entregas escritos principalmente en francés y, en menor medida, en inglés.
Estos mensajes incluyen archivos adjuntos en formato ZIP o enlaces a Google Drive, servidores de Discord, sitios web legítimos infectados y otros dominios controlados por actores, lo que conduce a la implementación de troyanos de acceso remoto.
Al tener éxito en la ejecución de RAT, los marcos de trabajo posteriores a la explotación como Metasploit Meterpreter y Cobalt Strike Beacon se descargan y ejecutan para establecer un acceso persistente, recolectar credenciales y filtrar archivos de interés, pero no antes de un período de reconocimiento prolongado para comprender las operaciones de back-end.
Esto se corrobora por el hecho de que se ha observado que el autor de la amenaza pasa entre tres y 12 meses desde la intrusión inicial hasta la realización de transacciones fraudulentas para retirar dinero de los cajeros automáticos.
La fase final del ataque consiste en irrumpir en el backend bancario digital de la víctima, lo que permite al adversario mover fondos de cuentas de alto valor a cientos de cuentas deshonestas y, en última instancia, retirarlos a través de cajeros automáticos con la ayuda de una red de mulas de dinero contratadas por adelantado. .
«Aquí, claramente, el ataque y el robo de fondos fueron posibles porque los malos actores lograron acumular diferentes niveles de derechos de acceso al sistema al robar las credenciales de inicio de sesión de varios usuarios operadores», explicó Group-IB.
En un caso, se emplearon más de 400 cuentas de suscriptores de mulas para desviar ilícitamente el dinero, lo que indica que «el ataque fue muy sofisticado, organizado, coordinado y planificado durante un largo período de tiempo».
Los hallazgos, llevados a cabo en colaboración con el gigante de las telecomunicaciones Orange, de que OPERA1ER logró llevar a cabo la operación de fraude bancario basándose únicamente en el malware disponible públicamente, destaca el esfuerzo que se ha realizado para estudiar las redes internas de las organizaciones.
«No hay amenazas de día cero en el arsenal de OPERA1ER, y los ataques a menudo usan exploits para vulnerabilidades descubiertas hace tres años», señaló la compañía. «Al avanzar lentamente y con cuidado a través del sistema objetivo, pudieron llevar a cabo con éxito al menos 30 ataques en todo el mundo en menos de tres años».