Un haut responsable présumé d’une équipe de piratage francophone connue sous le nom d’OPERA1ER a été arrêté dans le cadre d’une opération internationale de maintien de l’ordre portant le nom de code Nervone, a annoncé Interpol.
“Le groupe aurait volé environ 11 millions de dollars – potentiellement jusqu’à 30 millions – dans plus de 30 attaques dans 15 pays d’Afrique, d’Asie et d’Amérique latine”, a déclaré l’agence. a dit.
L’arrestation a été effectuée par les autorités ivoiriennes au début du mois dernier. Des informations supplémentaires ont été fournies par la division des enquêtes criminelles des services secrets américains et Booz Allen Hamilton DarkLabs.
Le collectif aux motivations financières est également connu sous les pseudonymes Common Raven, DESKTOP-GROUP et NX$M$. Son mode opératoire a été exposé pour la première fois par Group-IB et Orange CERT Coordination Center (Orange-CERT-CC) en novembre 2022, détaillant ses intrusions dans les banques, les services financiers et les entreprises de télécommunications entre mars 2018 et octobre 2022.
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
Plus tôt en janvier, Symantec de Broadcom a déclaré avoir découvert une série d’attaques ciblées contre le secteur financier dans les pays francophones situés en Afrique d’au moins juillet 2022 à septembre 2022. La société a déclaré que l’activité, qu’elle suit sous le nom de Bluebottle, a un degré de croisement avec OPERA1ER.
Les chaînes d’attaque montées par le groupe ont exploité des leurres de harponnage qui ont déclenché une chaîne d’événements qui a finalement conduit au déploiement d’outils de post-exploitation tels que Cobalt Strike et Metasploit et de chevaux de Troie d’accès à distance prêts à l’emploi, qui offrent diverses fonctionnalités pour voler des données sensibles.

OPERA1ER a également été observé maintenant l’accès à des réseaux compromis pendant une période allant de trois à douze mois, ciblant parfois plusieurs fois la même entreprise.
“La plupart des messages étaient rédigés en français et imitaient de fausses notifications de l’administration fiscale ou des offres d’embauche”, Group-IB a dit. “OPERA1ER a pu accéder aux systèmes de paiement internes utilisés par les organisations concernées et en a profité pour retirer des fonds.”

