Operação policial international encerra 600 servidores de crimes cibernéticos vinculados ao ataque da Cobalt
Uma operação coordenada de aplicação da lei com o codinome MORPHEUS derrubou cerca de 600 servidores que eram usados por grupos cibercriminosos e faziam parte de uma infraestrutura de ataque associada ao Cobalt Strike.
A repressão teve como alvo versões mais antigas e não licenciadas do framework de purple teaming Cobalt Strike entre 24 e 28 de junho, de acordo com a Europol.
Dos 690 endereços IP que foram sinalizados para provedores de serviços on-line em 27 países como associados a atividades criminosas, 590 não estão mais acessíveis.
A operação conjunta, que começou em 2021, foi liderada pela Agência Nacional de Crimes do Reino Unido (NCA) e envolveu autoridades da Austrália, Canadá, Alemanha, Holanda, Polônia e EUA. Autoridades da Bulgária, Estônia, Finlândia, Lituânia, Japão e Coreia do Sul forneceram apoio adicional.
Cobalt Strike é uma ferramenta common de simulação de adversários e testes de penetração desenvolvida pela Fortra (antiga Assist Methods), que oferece aos especialistas em segurança de TI uma maneira de identificar fraquezas nas operações de segurança e respostas a incidentes.
No entanto, como observado anteriormente pelo Google e pela Microsoft, versões crackeadas do software program acabaram nas mãos de agentes mal-intencionados, que repetidamente o utilizaram para fins de pós-exploração.
De acordo com um relatório recente da Unidade 42 da Palo Alto Networks, isso envolve o uso de uma carga útil chamada Beacon, que usa perfis baseados em texto chamados Malleable C2 para alterar as características do tráfego da internet do Beacon em uma tentativa de evitar a detecção.
“Embora o Cobalt Strike seja um software program legítimo, infelizmente os cibercriminosos têm explorado seu uso para propósitos nefastos”, disse Paul Foster, diretor de liderança de ameaças da NCA, em um comunicado.
“Versões ilegais dele ajudaram a diminuir a barreira de entrada no crime cibernético, tornando mais fácil para criminosos on-line desencadearem ataques de ransomware e malware prejudiciais com pouca ou nenhuma experiência técnica. Tais ataques podem custar milhões às empresas em termos de perdas e recuperação.”
O acontecimento ocorre no momento em que as autoridades policiais espanholas e portuguesas prenderam 54 pessoas por cometerem crimes contra idosos por meio de esquemas de vishing, se passando por funcionários de banco e induzindo-os a fornecer informações pessoais sob o pretexto de corrigir um problema com suas contas.
Os detalhes eram então passados para outros membros da rede criminosa, que visitavam as casas das vítimas sem aviso prévio e as pressionavam a dar seus cartões de crédito, códigos PIN e detalhes bancários. Alguns casos também envolviam o roubo de dinheiro e joias.
O esquema criminoso permitiu que os criminosos assumissem o controle das contas bancárias dos alvos ou fizessem saques não autorizados em caixas eletrônicos e outras compras caras.
“Usando uma mistura de ligações telefônicas fraudulentas e engenharia social, os criminosos são responsáveis por perdas de € 2.500.000”, disse a Europol no início desta semana.
“Os fundos foram depositados em várias contas espanholas e portuguesas controladas pelos fraudadores, de onde foram canalizados para um elaborado esquema de lavagem de dinheiro. Uma extensa rede de mulas de dinheiro supervisionadas por membros especialistas da organização foi usada para disfarçar a origem dos fundos ilícitos.”
As prisões também seguem uma ação semelhante realizada pela INTERPOL para desmantelar redes de tráfico de pessoas em vários países, incluindo o Laos, onde vários cidadãos vietnamitas foram atraídos com promessas de empregos bem remunerados, apenas para serem coagidos a criar contas on-line fraudulentas para golpes financeiros.
“As vítimas trabalhavam 12 horas por dia, estendidas para 14 horas se não conseguissem recrutar outros, e tiveram seus documentos confiscados”, disse a agência. “Famílias foram extorquidas em até US$ 10.000 para garantir seu retorno ao Vietnã.”
Na semana passada, a INTERPOL disse que também apreendeu US$ 257 milhões em ativos e congelou 6.745 contas bancárias após uma operação policial international que abrangeu 61 países e foi conduzida para interromper redes de golpes on-line e crime organizado.
O exercício, chamado de Operação First Gentle, teve como alvo phishing, fraude de investimento, websites falsos de compras on-line, romance e golpes de representação falsa. Ele levou à prisão de 3.950 suspeitos e identificou 14.643 outros possíveis suspeitos em todos os continentes.
