El grupo de ciberdelincuencia OPERA1ER robó $ 11 millones de 16 empresas africanas

Al menos 16 bancos africanos, servicios financieros y empresas de telecomunicaciones han sido identificados como víctimas del grupo de amenazas francófono OPERA1ER, que ha robado al menos 11 millones de dólares desde 2018. 

Un nuevo informe de Group-IB explica que ha estado rastreando las actividades de OPERA1ER desde 2019; sin embargo, esperaron para publicar sus hallazgos hasta que el grupo reapareció después de una pausa en 2021. Ahora la banda vuelve a la acción, explican los analistas, lo que permite a Group-IB documentar su TTP de OPERA1ER desde 2019 hasta 2021, así como las últimas iteración en 2022. 

Los investigadores informaron que OPERA1ER ha violado con éxito los sistemas de los objetivos al menos 30 veces desde 2018. Como ejemplo de la sofisticación y coordinación del grupo, agregó el informe, uno de los ataques del grupo utilizó más de 400 cuentas mula para realizar retiros de dinero fraudulentos. .

El grupo no usa malware exótico, de hecho, los investigadores dijeron en el informe que el sello distintivo de OPERA1ER es el malware de código abierto de fácil acceso y los marcos de trabajo cotidianos del equipo rojo como Metasploit y Cobalt Strike. OPERA1ER ofrece troyanos de acceso remoto (RAT) a través de señuelos de phishing de correo electrónico en francés y se toma su tiempo para recopilar información sobre sus víctimas antes de "cobrar", agregó el informe. 

“El análisis detallado de los ataques recientes de la pandilla reveló un patrón interesante en su modus operandi: OPERA1ER realiza ataques principalmente durante los fines de semana o días festivos”, dijo en un comunicado Rustam Mirkasymov, jefe de investigación de amenazas cibernéticas en Group-IB Europe. “Se correlaciona con el hecho de que pasan de tres a 12 meses desde el acceso inicial al robo de dinero”. 

Mirkasymov agregó que la pandilla podría tener su base fuera de África y se desconoce el número total de miembros del grupo OPERA1ER.