La masiva ‘Operación Dalila’ de Interpol atrapa a un pez gordo de BEC


Los ataques de compromiso de correo electrónico comercial (BEC) han causado pérdidas de miles de millones de dólares a empresas de todo el mundo en los últimos años, pero ahora las fuerzas del orden internacionales han obtenido otra victoria en la batalla contra ellos.

Interpol anunció el miércoles que la «Operación Dalila» resultó en el arresto de la policía nigeriana del presunto jefe de SilverTerrier, también conocido como TMT, que es una operación BEC masiva que ha estado activa desde al menos 2015, impactando a miles de empresas e individuos en cuatro continentes. El hombre nigeriano de 37 años, a quien Interpol no nombró, fue detenido en el Aeropuerto Internacional Murtala Muhammed en Lagos cuando intentaba volver a ingresar al país después de huir de la policía en 2021.

El arresto marca la culminación de un esfuerzo de investigación de un año que fue dirigido por la oficina de África de Interpol e involucró a agencias policiales de varios países. Tres proveedores de seguridad, Palo Alto Networks, Group-IB y Trend Micro, también apoyaron el esfuerzo al proporcionar información sobre el esfuerzo de BEC y sus operadores a las entidades investigadoras. E Interpol también señaló a CyberTOOLBELT como proveedor de «apoyo advertisement hoc» al esfuerzo de investigación.

Subiendo los arrestos

El último arresto eleva a 15 el número complete de personas que han sido arrestadas en los últimos años por su presunta participación en estafas BEC fuera de Nigeria, un semillero de actividad para este tipo de amenazas durante años. En enero, la policía de Nigeria, basándose en información de Interpol, arrestó a 11 personas por presuntamente defraudar o intentar defraudar a unas 50.000 organizaciones en todo el mundo a través de estafas BEC. Seis de los individuos fueron identificados como pertenecientes a SilverTerrier. En el momento de los arrestos de enero, las autoridades policiales recuperaron una computadora portátil que contenía la asombrosa cifra de 800.000 nombres de usuario y contraseñas que parecían pertenecer a organizaciones de víctimas.

thumbnail_Operación_Delilah_sospechoso_INTERPOL.jpg
El sospechoso. Fuente: Grupo-IB

Esa operación de 10 días recibió el nombre en código «Falcon II» fue precedido por otro en noviembre de 2020 denominado «Falcon I», cuando tres presuntos miembros de SilverTerrier fueron arrestados por su participación en estafas de BEC que comprometieron a 500,000 organizaciones en todo el mundo.

Pete Renals, investigador principal de la Unidad 42 de Palo Alto Networks, dice que los investigadores de la compañía han estado rastreando al individuo nigeriano quien fue arrestado recientemente desde al menos 2017. Señala que si bien se sospecha que esta persona es un cabecilla, es difícil decir cuál fue exactamente el papel del individuo dentro de SilverTerrier debido a la gran cantidad de personas que forman parte del grupo y el amorfo naturaleza de sus actividades maliciosas.

«Es difícil trazar límites alrededor de los subgrupos o asignar ciertos roles a los actores, ya que estos grupos a menudo tienen límites de tiempo, tienen una organización fluida y el rol individual de un actor específico generalmente evoluciona con el tiempo», dice Renals.

Una operación masiva

Dicho esto, la investigación de la Unidad 42 muestra que el individuo arrestado probablemente poseía la infraestructura que servía como comando y management (C2) para malware como ISRStealer, una herramienta de registro de pulsaciones de teclas Pony, un ladrón de contraseñas y el ladrón de información LokiBot, señala Renals.

El proveedor de seguridad dice que también identificó más de 240 dominios que el actor de amenazas había registrado bajo varios alias. Cincuenta de esos dominios se usaron como infraestructura C2 para el malware que los actores de amenazas usaron en sus campañas BEC.

Significativamente, el individuo arrestado proporcionó una dirección que pertenecía a una importante institución financiera de EE. UU. en Nueva York al registrar los dominios, dijo Palo Alto Networks. El mismo individuo también compartió conexiones en las redes sociales con al menos tres de los operadores de BEC que fueron arrestados previamente como parte de la Operación Falcon II.

La serie de arrestos desde fines de 2020 ha resaltado la creciente capacidad de las autoridades policiales internacionales, los proveedores de seguridad cibernética y otras partes interesadas para trabajar juntos en el rastreo de los principales operadores de BEC. Aun así, BEC sigue siendo un flagelo cibernético importante para las organizaciones de todo el mundo.

De acuerdo a estadísticas mantenidas por el FBI, los ataques BEC causaron la asombrosa cantidad de $ 43 mil millones en pérdidas reales e intentos en todo el mundo entre junio de 2016 y diciembre pasado. En ese período de tiempo, hubo unos 241.200 incidentes BEC que involucraron víctimas en los 50 estados de EE. UU. y 177 países. Aproximadamente 116 400 personas y organizaciones en los EE. UU. informaron haber sido blanco de una estafa BEC durante ese período, lo que provocó pérdidas por más de $14 700 millones.

Renals dice que el gran alcance de la actividad de BEC ha hecho que sea difícil detenerlo. «El panorama de amenazas de BEC es extremadamente activo y está en constante evolución», dice. «Como tipo de amenaza, ha crecido a lo largo de los años hasta convertirse en la forma más frecuente y costosa de actividad cibernética maliciosa dirigida a nuestras organizaciones».

Si bien Nigeria ha sido el centro de la actividad de BEC en los últimos años, también ha habido estafas similares que se originaron en otros países, dice. «También vemos que los esquemas BEC se originan en Malasia e India, y vemos la facilitación de los esquemas BEC en la mayoría de las naciones desarrolladas para incluir mulas de dinero que lavan el dinero de los ataques», dice Renals.



Enlace a la noticia authentic