Skoordynowana operacja organów ścigania o kryptonimie MORPHEUS zlikwidowała blisko 600 serwerów, które były wykorzystywane przez grupy cyberprzestępcze do przeprowadzania ataków za pomocą nielegalnych wersji narzędzia Cobalt Strike.
Spośród 690 adresów IP, które zostały zgłoszone dostawcom usług internetowych w 27 krajach jako powiązane z działalnością przestępczą, 590 nie jest już dostępnych.
Wspólna operacja, która rozpoczęła się w 2021 r., była prowadzona przez brytyjską Narodową Agencję ds. Przestępczości (NCA) i zaangażowała władze z Australii, Kanady, Niemiec, Holandii, Polski i USA. Dodatkowe wsparcie zapewniły służby z Bułgarii, Estonii, Finlandii, Litwy, Japonii i Korei Południowej.
Cobalt Strike to popularne narzędzie wykorzystywane do symulacji ataków cybernetycznych opracowane przez firmę Fortra (dawniej Help Systems), oferujące ekspertom ds. bezpieczeństwa IT platformę dzięki której w kontrolowanych warunkach mogą oni replikować taktyki oraz techniki wykorzystywanych przez wyspecjalizowane grupy APT w celu identyfikacji słabości w monitorowaniu i reagowaniu na incydenty bezpieczeństwa. Jednak, jak wcześniej zaobserwowały Google i Microsoft, nielegalne wersje tego narzędzia trafiły w ręce złośliwych aktorów, którzy raz po raz wykorzystywali je do ataków.
Według niedawnego raportu Palo Alto Networks Unit 42, grupy przestępcze dynamicznie modyfikowały profile komunikacyjne między poszczególnymi instancjami serwerów w celu zmiany charakterystyki ruchu sieciowego i utrudnieniu wykrycia oraz identyfikacji atakujących.
“Cobalt Strike jest legalnym oprogramowaniem, niestety cyberprzestępcy wykorzystali je do nikczemnych celów” – powiedział w oświadczeniu Paul Foster, dyrektor ds. zarządzania zagrożeniami w NCA.
“Jego nielegalne wersje pomogły obniżyć barierę wejścia do cyberprzestępczości, ułatwiając przestępcom internetowym przeprowadzanie szkodliwych ataków (takie jak np. ataki ransomware) przy niewielkiej lub żadnej wiedzy technicznej. Takie ataki mogą kosztować firmy miliony pod względem strat i odzyskiwania danych.”
Rozwój sytuacji nastąpił w momencie, gdy hiszpańskie i portugalskie organy ścigania aresztowały 54 osoby odpowiedzialne za popełnianie przestępstw przeciwko starszym obywatelom za pomocą ataków vishingowych, podając się za pracowników banku i nakłaniając ich do podania danych osobowych pod pozorem naprawienia problemu z ich kontami.
Dane te były następnie przekazywane innym członkom siatki przestępczej, którzy niezapowiedzianie odwiedzali domy ofiar i wywierali na nich presję, by oddali swoje karty kredytowe, kody PIN i dane bankowe. Niektóre przypadki obejmowały również kradzież gotówki i biżuterii.
Przestępczy schemat ostatecznie umożliwił przestępcom przejęcie kontroli nad kontami bankowymi ofiar lub dokonywanie nieautoryzowanych wypłat gotówki z bankomatów i innych drogich zakupów.
“Wykorzystując fałszywe połączenia telefoniczne oraz elementy socjotechniki , przestępcy doprowadzili do strat w wysokości 2 500 000 euro” – powiedział Europol na początku tego tygodnia.
“Fundusze zostały zdeponowane na wielu hiszpańskich i portugalskich kontach kontrolowanych przez oszustów, skąd trafiły do skomplikowanego systemu prania pieniędzy. Rozległa sieć słupów pieniężnych nadzorowanych przez wyspecjalizowanych członków grup przestępczych została wykorzystana do ukrycia pochodzenia nielegalnych funduszy.”
Aresztowania są również następstwem podobnych działań podjętych przez INTERPOL w celu rozbicia kręgów zajmujących się handlem ludźmi w kilku krajach, w tym w Laosie, gdzie kilku obywateli Wietnamu zostało zwabionych obietnicami dobrze płatnej pracy, tylko po to, by zostać zmuszonym do utworzenia fałszywych kont internetowych w celu przeprowadzania oszustw finansowych.
“Ofiary pracowały między 12 a 14 godzin dziennie i jeśli nie udało im się zwerbować kolejnych osób, ich dokumenty były konfiskowane” – powiedziała agencja.
W zeszłym tygodniu INTERPOL poinformował, że przejął również aktywa o wartości 257 milionów dolarów i zamroził 6 745 kont bankowych w następstwie globalnej operacji policyjnej obejmującej 61 krajów, która została przeprowadzona w celu rozbicia sieci oszustw internetowych i przestępczości zorganizowanej.
Ćwiczenie, określane jako Operacja First Light, było ukierunkowane na kampanie phishingowe, oszustwa inwestycyjne, fałszywe strony internetowe oraz inne oszustwa związane z kradzieżą tożsamości. Operacja ta doprowadziła do aresztowania 3 950 podejrzanych i zidentyfikowania 14 643 innych potencjalnych podejrzanych na wszystkich kontynentach.
