Vähemalt 16 Aafrika panka, finantsteenuseid ja telekommunikatsiooniettevõtet on tunnistatud prantsuskeelse ohurühma OPERA1ER ohvriks, mis on alates 11. aastast varastanud vähemalt 2018 miljonit dollarit.
Group-IB uues aruandes selgitatakse, et see on jälginud OPERA1ERi tegevust alates 2019. aastast; Siiski ootasid nad selle tulemuste avaldamist, kuni rühm pärast 2021. aasta pausi uuesti pinnale tuli. Nüüd on jõuk taas tegutsemas, selgitavad analüütikud, võimaldades Group-IB-l oma dokumente dokumenteerida OPERA1ER TTP-d aastatel 2019–2021, kui ka uusimad iteratsioon 2022. aastal.
Teadlased teatasid, et OPERA1ER on alates 30. aastast sihtmärkide süsteeme edukalt rikkunud vähemalt 2018 korda. Näitena grupi keerukuse ja koordineerimise kohta lisati aruandes, et üks grupi rünnakutest kasutas petturlikuks raha väljavõtmiseks rohkem kui 400 muula kontot. .
Rühm ei kasuta eksootilist pahavara, tegelikult ütlesid teadlased aruandes, et OPERA1ERi tunnuseks on kergesti juurdepääsetav avatud lähtekoodiga pahavara ja igapäevased punase meeskonna raamistikud, nagu Metasploit ja Cobalt Strike. OPERA1ER tarnib kaugjuurdepääsuga troojalasi (RAT) prantsuskeelsete e-kirjade andmepüügipeibutiste kaudu ja võtab oma ohvrite kohta jälitusteabe kogumiseks enne raha väljamaksmist aega, lisati aruandes.
"Gange hiljutiste rünnakute üksikasjalik analüüs paljastas huvitava mudeli nende tööviisis: OPERA1ER korraldab rünnakuid peamiselt nädalavahetustel või riigipühadel," ütles Group-IB Europe küberohtude uurimise juht Rustam Mirkasymov avalduses. "See on korrelatsioonis tõsiasjaga, et nad kulutavad kolm kuni 12 kuud alates esmasest rahavargusest."
Mirkasõmov lisas, et jõuk võib asuda väljaspool Aafrikat ning grupi OPERA1ER liikmete koguarv pole teada.
