Desde 2019, el grupo OPERA1ER, compuesto por hackers francófonos, ha conseguido poner en marcha más de 30 ciberataques contra varios bancos y empresas de telecomunicaciones situadas en América Latina, Asia y África. Gracias a todos estos hackeos, los ciberdelincuentes han conseguido robar más de 30 millones de dólares en cuatro años.
30 millones de euros robados en 4 años mediante múltiples ciberataques selectivos
OPERA1ER tiene un historial de uso de las mismas técnicas para hackear a sus víctimas, según un informe de los especialistas de la empresa de ciberseguridad Group-IB, que ha identificado la mayoría de las travesuras que ha cometido el grupo. Los hackers han logrado robar 11 millones de dólares desde 2019 con seguridad, pero los investigadores dicen que » la cantidad real sería superior a los 30 millones de dólares, ya que algunas de las empresas afectadas por estos ataques no han anunciado públicamente que hayan perdido dinero «.
Los bancos, las instituciones financieras y las empresas de telecomunicaciones son las tres categorías de organizaciones a las que se dirigen los ciberdelincuentes de OPERA1ER. Todas estas empresas cubren al menos quince países diferentes: Argentina, Bangladesh, Benín, Burkina Faso, Camerún, Costa de Marfil, Gabón, Malí, Níger, Nigeria, Paraguay, Senegal, Sierra Leona, Togo y Uganda.
¿Cuál es el modus operandi de los hackers de OPERA1ER?
Para lograr sus objetivos, el grupo de ciberdelincuentes comienza sus ataques enviando correos electrónicos dirigidos a los empleados de una empresa. Estos correos electrónicos les animan a ejecutar el malware con el pretexto de que se trata de una actualización de seguridad. Al ejecutar el malware, el empleado está descargando en realidad un keylogger, una herramienta que recuerda todas las palabras escritas por un usuario en su teclado. Así es como los hackers recuperan sutilmente la información de acceso de los empleados.
Con estas credenciales, los delincuentes entran en las cuentas y luego acceden a las direcciones de correo electrónico de los administradores de la red interna de la empresa, a los que intentan engañar de la misma manera, enviando un correo electrónico fraudulento. A continuación, obtienen acceso a la red y a los servicios de mensajería SWIFT, que utilizan los bancos y otras instituciones financieras para enviar o recibir detalles de las transacciones de sus clientes.
Además, los hackers no dudan en utilizar herramientas como Cobalt Strike o Metsploit para permanecer conectados a la red el mayor tiempo posible, a menudo entre tres y doce meses. Para ser lo más discretos posible, utilizan la información bancaria que tienen para transferir progresivamente el dinero a cuentas de su propiedad, antes de retirarlo en efectivo de un cajero automático.
Un modus operandi que se ha ido perfeccionando a lo largo de los años
» Está claro que el ataque fue muy sofisticado, organizado, coordinado y planificado durante un largo periodo de tiempo «, dicen los especialistas, que afirman que no se ha desarrollado ningún malware a medida para llevar a cabo estos ciberataques. Aunque el grupo existe desde 2016, parece que la técnica solo se ha desarrollado desde 2019 y varias empresas han sido atacadas en dos ocasiones. Para cubrir sus huellas, los delincuentes han utilizado VPNs que les permiten obtener otra dirección IP situada en el otro lado del mundo, muy lejos de su ubicación real.
Al parecer, los piratas informáticos actúan para recuperar la información bancaria de personas o profesionales que son clientes de un banco o institución financiera. Al parecer, OPERA1ER nunca ha recuperado esta información con el fin de revenderla o divulgarla, a diferencia del ransomware, la técnica de ciberdelincuencia más común del momento.
Como joven medio de comunicación independiente, OnDigital Magazine necesita tu ayuda. Apóyenos siguiéndonos y marcándonos como favoritos en Google News. Gracias por su apoyo.
