Группировка Opera1er похитила более 11 млн долларов у банков и телекомов - «Новости»

  • 10:30, 08-ноя-2022
  • Изображения / Новости / Отступы и поля / Преимущества стилей / Заработок / Текст / Добавления стилей
  • Викентий
  • 0

Эксперты Group-IB рассказали о франкоязычной группировке Opera1er, существующей с 2016 года. В период с 2018 по 2022 год эти хакеры похитили не менее 11 миллионов долларов у банков и поставщиков телекоммуникационных услуг в странах Африки, Азии и Латинской Америке, а фактический ущерб от этих атак оценивается в 30 миллионов долларов.



Группировка Opera1er похитила более 11 млн долларов у банков и телекомов - «Новости»


По данным исследователей, ранее атаки этой группировки обнаруживали другие специалисты, и ей присваивали такие имена как Common Raven, Desktop-Group и NXSMS. Дело в том, что с 2018 по 2022 год хакеры осуществили более 35 успешных атак, причем около трети из них пришлось на 2020 год.


К примеру, были атакованы пять банков в Буркина-Фасо, Бенине, Кот-д'Ивуаре и Сенегале. Интересно, что инфраструктура многих жертв подвергалась взлому дважды, а впоследствии использовалась для атак на другие организации.


Считается, что группировка состоит из франкоговорящих участников, которые действуют из Африки. При этом в своих атаках Opera1er не используют уязвимости нулевого дня или специализированные вредоносные программы. В основном на вооружении этих хакеров состоят старые уязвимости, опенсорсные инструменты, стандартные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike.


Первоначальный доступ к сетям своих будущих жертв хакеры получают через фишинговые письма, которые отправляют ограниченному числу людей в целевой организации, маскируя послания под различные счета или уведомления о почтовой доставке. Такие письма содержат вложения, которые доставляют малварь первой стадии, в том числе Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET и Venom RAT. Также Group-IB сообщает, что хакеры использовали различные снифферы и дамперы для сбора паролей.



Фишинговое письмо Opera1er

Главная цель атак Opera1er — получение доступа к контроллерам домена и банковским бэк-офисным системам. После этого злоумышленники выжидают от 3 до 12 месяцев, прежде чем фактически украсть деньги. В это время группировка занимается «боковым» фишингом, изучая внутреннюю документацию компании, чтобы разобраться в процедурах денежных переводов и механизмах защиты, и тщательно планирует последний этап атаки — кражу и обналичивание средств (для чего копит различные уровни доступа к системам).


В заключительной фазе операции хакеры используют банковскую инфраструктуру жертвы для перевода денег клиентов банка на счета мулов, после чего те снимают их в банкоматах (как правило, в выходные и праздничные дни). В одном из изученных случаев мулы Opera1er использовали сеть, состоящую более чем из 400 счетов, для обналичивания украденных средств за считанные часы.



Схема обналичивания денег

«Как минимум в двух банках Opera1er получил доступ к интерфейсу SWIFT, — пишут эксперты. — В одном случае хакеры получили доступ к SMS-серверу, который можно было использовать для обхода антифрода, вывода денег через платежные системы или системы мобильного банкинга. В другом инциденте Opera1er использовали в качестве опорной точки сервер обновлений антивируса, который был развернут в инфраструктуре [жертвы]».


Эксперты Group-IB рассказали о франкоязычной группировке Opera1er, существующей с 2016 года. В период с 2018 по 2022 год эти хакеры похитили не менее 11 миллионов долларов у банков и поставщиков телекоммуникационных услуг в странах Африки, Азии и Латинской Америке, а фактический ущерб от этих атак оценивается в 30 миллионов долларов. По данным исследователей, ранее атаки этой группировки обнаруживали другие специалисты, и ей присваивали такие имена как Common Raven, Desktop-Group и NXSMS. Дело в том, что с 2018 по 2022 год хакеры осуществили более 35 успешных атак, причем около трети из них пришлось на 2020 год. К примеру, были атакованы пять банков в Буркина-Фасо, Бенине, Кот-д'Ивуаре и Сенегале. Интересно, что инфраструктура многих жертв подвергалась взлому дважды, а впоследствии использовалась для атак на другие организации. Считается, что группировка состоит из франкоговорящих участников, которые действуют из Африки. При этом в своих атаках Opera1er не используют уязвимости нулевого дня или специализированные вредоносные программы. В основном на вооружении этих хакеров состоят старые уязвимости, опенсорсные инструменты, стандартные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike. Первоначальный доступ к сетям своих будущих жертв хакеры получают через фишинговые письма, которые отправляют ограниченному числу людей в целевой организации, маскируя послания под различные счета или уведомления о почтовой доставке. Такие письма содержат вложения, которые доставляют малварь первой стадии, в том числе Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET и Venom RAT. Также Group-IB сообщает, что хакеры использовали различные снифферы и дамперы для сбора паролей. Фишинговое письмо Opera1er Главная цель атак Opera1er — получение доступа к контроллерам домена и банковским бэк-офисным системам. После этого злоумышленники выжидают от 3 до 12 месяцев, прежде чем фактически украсть деньги. В это время группировка занимается «боковым» фишингом, изучая внутреннюю документацию компании, чтобы разобраться в процедурах денежных переводов и механизмах защиты, и тщательно планирует последний этап атаки — кражу и обналичивание средств (для чего копит различные уровни доступа к системам). В заключительной фазе операции хакеры используют банковскую инфраструктуру жертвы для перевода денег клиентов банка на счета мулов, после чего те снимают их в банкоматах (как правило, в выходные и праздничные дни). В одном из изученных случаев мулы Opera1er использовали сеть, состоящую более чем из 400 счетов, для обналичивания украденных средств за считанные часы. Схема обналичивания денег «Как минимум в двух банках Opera1er получил доступ к интерфейсу SWIFT, — пишут эксперты. — В одном случае хакеры получили доступ к SMS-серверу, который можно было использовать для обхода антифрода, вывода денег через платежные системы или системы мобильного банкинга. В другом инциденте Opera1er использовали в качестве опорной точки сервер обновлений антивируса, который был развернут в инфраструктуре _

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!