Volgens securityonderzoekers van Group-IB heeft een Franstalige cybercrimegroep in vijf jaar tijd 30 miljoen dollar buitgemaakt in vijftien landen.

De threat actor staat bekend als OPERA1ER. Group-IB houdt de cybercrimegroep verantwoordelijk voor meer dan 30 succesvolle cyberaanvallen op banken, financiële diensten en telecombedrijven in Afrika, Azië en Latijns-Amerika tussen 2018 en 2022.

De groep heeft minstens 11 miljoen dollar buitgemaakt, maar de totale winst wordt op 30 miljoen dollar geschat. Het verschil tussen de cijfers is te wijten aan het feit dat veel slachtoffers niet hebben bevestigd dat ze zijn gehackt.

“Analyses wijzen uit dat de meeste aanvallen beginnen met spear phishing e-mails, Remote Access Trojans (RAT’s) en andere tools om gebruikersgegevens te verzamelen”, schrijven de onderzoekers.

“De spear phishing e-mails waren zeer doelgericht, met afgestemde inhoud voor enkele personen. De gestolen inloggegevens werden gebruikt om beheerdersrechten te verkrijgen op de domeincontrollers en back-officesystemen van banken.”

Bekende tools en kwetsbaarheden

Na binnen te komen op het netwerk bleven de aanvallers gemiddeld drie tot twaalf maanden actief, aldus Group-IB. Gedurende de periode onderzocht de dader het netwerk van het slachtoffer, vaak met behulp van bekende tools en kwetsbaarheden. Aan het einde van de periode werd er geld gestolen.

Volgens Group-IB gebruikte OPERA1ER in sommige gevallen kwetsbaarheden van drie jaar oud. In minstens één geval werd een antivirusupdateserver gebruikt als ingang om andere systemen te compromitteren.

De laatste fase van de aanval vond vaak plaats in het weekend. OPERA1ER infecteerde bankinfrastructuren om geld van bankklanten over te maken naar de rekeningen van ‘mules’. De mules waren individuen die OPERA1ER wereldwijd inhuurde om het gestolen geld in contanten op te nemen uit pinautomaten.

De banken, telecombedrijven en andere instellingen die door OPERA1ER werden getroffen bestrijken ten minste vijftien landen, van Ivoorkust, Mali en Burkina Faso tot Paraguay, Togo en Argentinië.

Tip: ‘Twilio-hackers treffen meer dan 130 organisaties’