Die Polizei in Nigeria hat mit Hilfe von Interpol 11 Personen im Land wegen ihrer angeblichen Beteiligung an BEC-Betrug (Business Email Compromise) festgenommen, der mit mehr als 50,000 Zielen weltweit in Verbindung steht.
Sechs der Festgenommenen wurden als Mitglieder von SilverTerrier identifiziert, einer bekannten BEC-Bande, von der angenommen wird, dass sie weltweit Tausenden von Unternehmen Schaden zugefügt hat und sich seit mehr als fünf Jahren erfolgreich der Strafverfolgung entzieht.
Ein Laptop, der einem der 11 mutmaßlichen BEC-Mitarbeiter gehörte, enthielt etwa 800,000 Benutzernamen und Zugangsdaten von potenziellen Opferorganisationen. Es wurde festgestellt, dass eine weitere festgenommene Person Gespräche zwischen 16 Unternehmen und ihren Kunden überwacht und versucht hat, Geld auf SilverTerrier-Konten umzuleiten, als Transaktionen zwischen ihnen getätigt werden sollten. Das teilte Interpol am Mittwoch mit.
Die Verhaftungen fanden im Dezember statt und markierten den Höhepunkt einer zehntägigen Operation namens Operation Falcon II, bei der die nigerianische Polizei (NPF) Informationen von Interpol nutzte, um Verdächtige in den Städten Lagos und Asaba festzunehmen. Als Teil der Operation arbeitete die NPF mit Strafverfolgungsbehörden in mehreren Ländern zusammen, die die BEC-Aktivitäten in Nigeria aktiv untersuchten. Zu den Bemühungen trugen auch Einheit 10 von Palo Alto Networks und das APAC Cyber Investigations Team von Group-IB bei.
„Operation Falcon II sendet eine klare Botschaft aus, dass Cyberkriminalität schwerwiegende Folgen für diejenigen haben wird, die an geschäftlichem E-Mail-Kompromittierungsbetrug beteiligt sind“, erklärte Craig Jones, Direktor für Cyberkriminalität bei Interpol. „INTERPOL schließt die Reihen gegen Banden wie ‚SilverTerrier'; Während sich die Ermittlungen fortsetzen, zeichnen wir ein sehr klares Bild davon, wie solche Gruppen funktionieren und für finanziellen Gewinn korrumpieren.“
Dies ist die zweite große von Interpol koordinierte Operation gegen BEC-Akteure in Nigeria in den letzten Jahren. Im November 2020 hat die NPF auf der Grundlage von Informationen von Interpol und Group-IB drei Mitglieder festgenommen einer Gruppe namens TMT, von der angenommen wurde, dass sie unglaubliche 500,000 Organisationen in mehr als 150 Ländern kompromittiert hat.
Bei BEC-Betrug verleiten Angreifer, die gefälschte oder gestohlene E-Mail-Konten verwenden, in der Regel gezielte Beamte einer Opferorganisation dazu, Überweisungen auf von Angreifern kontrollierte Bankkonten vorzunehmen, die sich normalerweise in einem anderen Land befinden. Beispielsweise kann ein Angreifer vorgeben, ein legitimer Lieferant oder Verkäufer zu sein, um ein Unternehmen dazu zu bringen, eine betrügerische Rechnung zu bezahlen. Diese Betrügereien beinhalten eine Menge gezieltes Phishing und Social Engineering, bei denen Betrüger oft vorgeben, eine hochrangige Führungskraft zu sein oder jemand, der mit Überweisungszahlungen im Zielunternehmen zu tun hat.
Zahlreiche öffentliche und private Einrichtungen haben durch diese Betrügereien Zehn- bis Hunderttausende von Dollar verloren. Im vergangenen März, die FBI berichtete 19,369 BEC-bezogene Beschwerden im Jahr 2020 erhalten, die die Opfer zusammen 1.9 Milliarden US-Dollar oder fast die Hälfte der gesamten Verluste in Höhe von 4.1 Milliarden US-Dollar durch alle Formen der Cyberkriminalität in diesem Jahr kosten.
Laut Brian Johnson, Chief Security Officer bei Armorblox, bleibt das Interesse von Bedrohungsakteuren an BEC-Betrug hoch, da diese Angriffe mit anderen Vektoren verglichen werden können.
„Im aktuellen Geschäftsumfeld hat jeder Mitarbeiter eine öffentlich zugängliche E-Mail-Adresse“, sagt er. „Im Gegensatz zu anderen Infrastrukturen innerhalb des Unternehmens sind E-Mail-Systeme öffentlich zugänglich und müssen für jedermann zugänglich sein.“
Diese Tatsache, kombiniert mit der Tatsache, dass es für Angreifer oft trivial ist, den Geschäftsablauf eines Unternehmens zu verstehen, macht es einfach, BEC-Angriffe zu entwerfen und auszuführen. Darüber hinaus ist BEC laut Johnson oft das Tor zu anderen Formen von Angriffen.
„Wir haben viele Bedrohungen gesehen, die als BEC-Vektor beginnen und sich schnell in andere Formen von Cyberangriffen wie Ransomware verwandeln“, sagt er.
Pete Renals, Hauptforscher der Einheit 42 von Palo Alto Networks, sagt, sein Unternehmen habe die Telemetrie, Malware-Analyse und forensische Unterstützung bereitgestellt, die zur Verhaftung von sechs SilverTerrier-Mitgliedern geführt habe.
„Zuvor, nach den Verhaftungen im November 2020, stellte Einheit 42 fest, dass wir historische forensische Details zu den Schauspielern und ihren Mitarbeitern hatten, die bei den Bemühungen zur Strafverfolgung der Mitglieder von SilverTerrier helfen würden“, sagt er.
Renals beschreibt Operation Falcon II als einen anderen Ansatz als die übliche Taktik der Strafverfolgung, Geldkuriere und andere ins Visier zu nehmen, die direkt monetär von BEC-Betrug profitieren.
„Stattdessen konzentrierte es sich hauptsächlich auf das technische Rückgrat der BEC-Operationen, indem es auf die Akteure abzielte, die über die Fähigkeiten und das Wissen verfügen, um die in diesen Schemata verwendete Malware- und Domäneninfrastruktur zu erstellen und einzusetzen“, sagt er.
Die Auswirkungen von kriminellen Takedowns
Wie so oft bei Verhaftungen und Strafverfolgungsmaßnahmen im Zusammenhang mit Cyberkriminalität ist unklar, wie und ob die Operation Falcon II einen Einschnitt in die BEC-Landschaft hinterlassen wird.
Ein Faktor ist die schiere Anzahl von Cyberkriminellen, die an der Aktivität beteiligt sind. Laut Renals verfolgt Palo Alto Networks derzeit über 500 Bedrohungsakteure, die allein mit der SilverTerrier-Operation in Verbindung stehen.
Frühere Verhaftungen haben Kriminelle nur wenig davon abgehalten, sich gleich wieder mit BEC-Betrügereien zu befassen. Beispielsweise wurde Darlington Ndukwu, eine Person, bei deren Verhaftung Palo Alto Networks im Rahmen der Operation Falcon II mitgeholfen hat, bereits 2018 im Rahmen einer FBI-Operation namens WireWire festgenommen. Seitdem ist er weiterhin als Teil der SilverTerrier-Operation tätig, was darauf hindeutet, dass die anfängliche Strafverfolgung ineffektiv war, sagte Palo Alto Networks. In ähnlicher Weise wurde Onuegwu Ifeanyi Ephraim, ein weiterer SilverTerrier-Agent, der in die jüngste Strafverfolgungsaktion verwickelt war, zuvor – zusammen mit drei Mitarbeitern – bei der Strafverfolgungsaktion im November 2020 in Nigeria festgenommen.
Nigeria, ein globaler Hotspot für BEC-Aktivitäten, hat auch eine boomende technische Infrastruktur und einen sehr technisch versierten Talentpool, sagt Johnson von Armorblox. Mehr als 100 Millionen Nigerianer haben Zugang zu Hochgeschwindigkeits-Breitbandinternet, und diese Zahl wächst exponentiell. Das Land verfügt auch über eine große Basis an hochqualifizierten Cybersicherheitstalenten, sagt er.
„Osteuropa, Russland und Nordkorea sind die anderen drei Top-Hotspots für BEC-Aktivitäten“, bemerkt Johnson. „Sie gehen Hand in Hand mit BEC und anderen Formen von Angriffen, einschließlich Ransomware und Krypto.“
