Grupo de cibercriminosos poderá ter roubado 30 milhões de dólares de bancos

Um novo relatório da empresa Group-IB indica que um grupo de cibercriminosos de língua francesa – que apelidaram Opera1er – poderá ter roubado mais de 30 milhões de dólares de bancos e outros tipos de organizações nos últimos anos. A maioria dos ataques visa bancos africanos, mas também se estende a serviços financeiros, serviços bancários móveis e empresas de telecomunicação. As vítimas do grupo estão distribuídas por 15 países em África, na América Latina e na Ásia. 

Os investigadores têm conhecimento de 30 ataques bem-sucedidos do grupo, conduzidos entre 2019 e 2021, nalguns dos quais a mesma vítima foi atacada múltiplas vezes. É de notar que as atividades do grupo já terão sido investigadas anteriormente, pelo que foram, ainda, apelidados de Common Raven, Desktop-Group e NXSMS, e parecem estar ativos desde 2016.

Tipicamente, os ataques do grupo começam com um email de spear-phishing enviado a um número limitado de pessoas dentro de uma determinada organização, com o objetivo de obter acesso aos domain controllers e sistemas back-office bancários. Depois de ganharem acesso, os cibercriminosos esperam entre 3 e 12 meses até roubarem dinheiro. Finalmente, os atacantes utilizam a infraestrutura bancária para transferir dinheiro dos clientes para contas de ‘mulas’, a partir das quais poderão levantar o dinheiro em caixas multibanco, tipicamente aos fins de semana ou feriados.  

“Em pelo menos dois bancos, a Opera1er teve acesso à interface de mensagens SWIFT”, explicam os investigadores. “Num incidente, os hackers obtiveram acesso a um servidor SMS que poderia ser usado para contornar a fraude ou para levantar dinheiro através de sistemas de pagamento ou sistemas bancários móveis. Em outro incidente, o Opera1er recorreu a um servidor de atualização antivírus que foi implementado na infraestrutura como um ponto de viragem”.