La police nigériane, avec l'aide d'Interpol, a arrêté 11 personnes dans le pays pour leur implication présumée dans des escroqueries de compromission de courrier électronique professionnel (BEC) associées à plus de 50,000 XNUMX cibles dans le monde.
Six des personnes arrêtées ont été identifiées comme membres de SilverTerrier, un gang BEC connu qui aurait porté préjudice à des milliers d'entreprises dans le monde et qui a réussi à échapper aux poursuites pendant plus de cinq ans.
Un ordinateur portable appartenant à l'un des 11 agents présumés du BEC contenait quelque 800,000 16 noms d'utilisateur et informations d'identification appartenant à des organisations victimes potentielles. Une autre personne arrêtée aurait surveillé les conversations entre XNUMX entreprises et leurs clients, et tenté de détourner de l'argent vers des comptes SilverTerrier alors que des transactions entre elles étaient sur le point d'être effectuées. Interpol a déclaré mercredi.
Les arrestations ont eu lieu en décembre et ont marqué le point culminant d'une opération de 10 jours appelée Opération Falcon II, au cours de laquelle la police nigériane (NPF) a utilisé les informations fournies par Interpol pour appréhender des suspects dans les villes de Lagos et d'Asaba. Dans le cadre de cette opération, la NPF a travaillé avec les autorités chargées de l'application des lois dans plusieurs pays qui enquêtaient activement sur les activités du BEC au Nigeria. L'unité 42 de Palo Alto Networks et l'équipe de cyberenquêtes APAC du Groupe IB ont également contribué à cet effort.
« L'Opération Falcon II envoie un message clair selon lequel la cybercriminalité aura de graves répercussions sur les personnes impliquées dans la fraude liée à la compromission des courriers électroniques professionnels », a déclaré Craig Jones, directeur de la cybercriminalité d'Interpol. « INTERPOL serre les rangs contre des gangs comme « SilverTerrier » ; à mesure que les enquêtes se poursuivent, nous dressons un tableau très clair de la manière dont ces groupes fonctionnent et se corrompent pour obtenir des gains financiers. »
Il s’agit de la deuxième opération majeure coordonnée par Interpol contre les acteurs du BEC au Nigeria ces dernières années. En novembre 2020, le NPF, agissant sur information d'Interpol et du Groupe-IB, arrêté trois membres d'un groupe appelé TMT qui aurait compromis un chiffre stupéfiant de 500,000 150 organisations dans plus de XNUMX pays.
Dans les escroqueries BEC, les attaquants utilisant des comptes de messagerie usurpés ou volés incitent généralement les responsables ciblés d'une organisation victime à effectuer des virements électroniques vers des comptes bancaires contrôlés par l'attaquant, qui sont généralement basés dans un autre pays. Par exemple, un attaquant peut se faire passer pour un fournisseur légitime pour inciter une organisation à payer une facture frauduleuse. Ces escroqueries impliquent de nombreux hameçonnages ciblés et ingénierie sociale dans lesquels les fraudeurs se font souvent passer pour un cadre supérieur ou une personne impliquée dans les paiements par virement bancaire au sein de l'entreprise cible.
De nombreuses entités des secteurs public et privé ont perdu des dizaines, voire des centaines de milliers de dollars à cause de ces escroqueries. En mars dernier, le Rapport du FBI recevoir 19,369 2020 plaintes liées au BEC en 1.9 qui ont coûté ensemble aux victimes 4.1 milliard de dollars, soit près de la moitié du total de XNUMX milliards de dollars de pertes combinées dues à toutes les formes de cybercriminalité cette année-là.
Brian Johnson, responsable de la sécurité chez Armorblox, affirme que l'intérêt des acteurs malveillants pour les escroqueries BEC reste élevé en raison de l'efficacité de ces attaques par rapport à d'autres vecteurs.
« Dans l’environnement commercial actuel, chaque employé dispose d’une adresse e-mail publique », explique-t-il. « Contrairement aux autres infrastructures de l’entreprise, les systèmes de messagerie sont ouverts au public et doivent être accessibles à tous. »
Ce fait, combiné au fait qu’il est souvent trivial pour les attaquants de comprendre le flux de travail métier d’une organisation, rend les attaques BEC faciles à concevoir et à exécuter. De plus, BEC est souvent la porte d’entrée vers d’autres formes d’attaques, explique Johnson.
« Nous avons vu de nombreuses menaces qui commençaient comme un vecteur BEC se transformer rapidement en d’autres formes de cyberattaques comme les ransomwares », dit-il.
Pete Renals, chercheur principal de l'unité 42 de Palo Alto Networks, affirme que son entreprise a fourni la télémétrie, l'analyse des logiciels malveillants et l'assistance médico-légale qui ont abouti à l'arrestation de six membres de SilverTerrier.
"Auparavant, à la suite des arrestations de novembre 2020, l'unité 42 avait identifié que nous disposions de détails médico-légaux historiques sur les acteurs et leurs associés qui pourraient aider aux efforts visant à poursuivre les membres de SilverTerrier", dit-il.
Renals décrit l'Opération Falcon II comme adoptant une approche différente de la tactique habituelle des forces de l'ordre consistant à cibler les mules financières et autres qui bénéficient directement financièrement des escroqueries BEC.
"Au lieu de cela, il s'est principalement concentré sur l'épine dorsale technique des opérations BEC en ciblant les acteurs qui possèdent les compétences et les connaissances nécessaires pour créer et déployer les logiciels malveillants et l'infrastructure de domaine utilisés dans ces programmes", explique-t-il.
L'impact des arrestations criminelles
Comme c'est souvent le cas avec les arrestations et les démantèlements des activités de cybercriminalité par les forces de l'ordre, on ne sait pas exactement comment et si l'opération Falcon II fera une brèche dans le paysage du BEC.
L’un des facteurs est le grand nombre de cybercriminels engagés dans cette activité. Selon Renals, Palo Alto Networks suit actuellement plus de 500 acteurs malveillants liés à la seule opération SilverTerrier.
Les arrestations précédentes n’ont guère dissuadé les criminels de se lancer à nouveau dans les escroqueries BEC. Par exemple, Darlington Ndukwu, un individu que Palo Alto Networks a aidé à arrêter dans le cadre de l'opération Falcon II, avait déjà été arrêté en 2018 dans le cadre d'une opération du FBI appelée WireWire. Depuis lors, il a continué à opérer dans le cadre de l'opération SilverTerrier, ce qui suggère que les poursuites initiales ont été inefficaces, a déclaré Palo Alto Networks. De même, Onuegwu Ifeanyi Ephraim, un autre agent du SilverTerrier qui a été arrêté lors de la récente action des forces de l'ordre, avait déjà été arrêté – avec trois associés – lors de l'action des forces de l'ordre de novembre 2020 au Nigeria.
Le Nigeria, un point chaud mondial pour l'activité BEC, dispose également d'une infrastructure technologique en plein essor et d'un vivier de talents très avertis en technologie, explique Johnson d'Armorblox. Plus de 100 millions de Nigérians ont accès à l’Internet haut débit et ce nombre connaît une croissance exponentielle. Le pays dispose également d’une large base de talents hautement qualifiés en matière de cybersécurité, dit-il.
« L’Europe de l’Est, la Russie et la Corée du Nord sont les trois autres points chauds de l’activité BEC », note Johnson. "Ils vont de pair avec le BEC et d'autres formes d'attaques, notamment les ransomwares et les cryptomonnaies."
