Um grupo de hackers roubou US$ 30 milhões – mais de R$ 153 milhões no câmbio atual – de empresas e bancos da África nos últimos quatro anos. O alerta está em um da empresa de segurança cibernética Group-IB.
Segundo os pesquisadores, os criminosos invadiram serviços financeiros e empresas de telecomunicações através de spear phishing – golpes com alvos específicos que se disfarçam de organizações reais para entrar em sistemas e roubar informações.
Ao todo, teriam sido mais de 30 invasões. Ao entrar no sistema, o grupo – apelidado de “OPERA1ER” – invadia e passava a controlar contas de usuários. Depois, transferia o dinheiro para outras poupanças e sacava os montantes em caixas eletrônicos.
Um dos ataques teria usado 400 contas de mulas – ou seja, controladas para sacar fundos roubados. Na África, o grupo atacou bancos de pelo menos 12 países. São eles: Costa do Marfim, Mali, Burkina Faso, Benin, Camarões, Gabão, Níger, Nigéria, Senegal, Serra Leoa, Uganda e Togo.
Também há registro de ataques em instituições da Ásia e América Latina, como Bangladesh, Paraguai e Argentina.
As transferências só aconteciam de três a 12 meses depois das invasões. Nesse intervalo, os criminosos identificavam quem eram os chefes dos bancos, estudavam as proteções para evitar fraudes e as plataformas de operações e saques de cada país.
Há confirmação de que o grupo levou US$ 11 milhões durante os ataques. Mas há suspeita – e os bancos averiguam isso – de que possam ter roubado um valor até três vezes maior.
Em duas instituições africanas, os hackers tiveram acesso a um código que identifica instituições financeiras pelo mundo e permite o envio e recebimento internacional de valores.
Investigação
A empresa começou a rastrear o OPERA1ER em 2019, após uma série de ataques coordenados contra bancos da África. Em 2020, o grupo foi identificado.
Isso só aconteceu por causa de rastros deixados pelos criminosos. Eles deixaram para trás informações públicas como cabeçalhos de e-mail, hashes (algoritmo para criptografia) de malware e detalhes do comando.
No ano passado, quando os pesquisadores estavam prestes a publicar suas descobertas, o grupo percebeu que estava sendo vigiado e começou a encobrir suas informações. Para evitar que o perdessem de vista, os pesquisadores mantiveram a investigação longe do público por mais um ano.
“Naquele momento, corremos o risco de perdê-los de vista”, diz o relatório. “Para evitar ser enganada, a equipe do Group-IB decidiu suspender a publicação e esperar até que a ganância do grupo os levasse a sair novamente”.
Em agosto deste ano, um pesquisador do Group-IB identificou um novo servidor Cobalt Strike – ferramenta de emulação de adversários usada com frequência pelo OPERA1ER. Isso levou a investigação a descobrir cinco ataques ainda não rastreados em quatro países.
Com os dados em mãos, as autoridades encontraram informações atualizadas sobre domínios e novos endereços IPs vinculados ao grupo. A suspeita é que os hackers invadem sistemas de bancos desde 2016. O grupo continua ativo, alertou o relatório.