나이지리아 경찰은 인터폴의 도움으로 전 세계 11개 이상의 표적과 관련된 비즈니스 이메일 손상(BEC) 사기에 연루된 혐의로 나이지리아에서 50,000명을 체포했습니다.
체포된 사람들 중 XNUMX명은 전 세계적으로 수천 개의 회사에 피해를 입히고 XNUMX년 이상 기소를 성공적으로 회피한 것으로 알려진 BEC 갱단인 SilverTerrier의 구성원으로 확인되었습니다.
11명의 BEC 요원으로 의심되는 사람 중 한 명이 소유한 랩톱에는 잠재적인 피해자 조직에 속한 약 800,000개의 사용자 이름과 자격 증명이 들어 있었습니다. 체포된 또 다른 사람은 16개 회사와 고객 간의 대화를 모니터링하고 거래가 이루어지려고 할 때 SilverTerrier 계정으로 자금을 전용하려고 시도한 것으로 나타났습니다. 인터폴은 수요일.
체포는 10월에 발생했으며 나이지리아 경찰(NPF)이 인터폴에서 제공한 정보를 사용하여 라고스와 아사바 시에서 용의자를 체포하는 작전인 팔콘 II 작전(Operation Falcon II)이라는 42일 작전의 정점을 표시했습니다. 작전의 일환으로 NPF는 나이지리아에서 BEC 활동을 적극적으로 조사하고 있는 여러 국가의 법 집행 기관과 협력했습니다. 또한 Palo Alto Networks의 Unit XNUMX와 Group-IB의 APAC 사이버 조사 팀도 이러한 노력에 기여했습니다.
Interpol의 사이버 범죄 책임자인 Craig Jones는 "Operation Falcon II는 비즈니스 이메일 손상 사기에 연루된 사람들에게 사이버 범죄가 심각한 영향을 미칠 것이라는 분명한 메시지를 전달합니다."라고 말했습니다. “INTERPOL은 'SilverTerrier'와 같은 갱단의 순위를 닫고 있습니다. 조사가 계속 진행됨에 따라 우리는 그러한 그룹이 어떻게 기능하고 재정적 이익을 위해 부패하는지에 대한 매우 명확한 그림을 구축하고 있습니다.”
이것은 최근 몇 년 동안 나이지리아의 BEC 행위자들에 대해 인터폴이 조정한 두 번째 주요 작전입니다. 2020년 XNUMX월 NPF는 Interpol 및 Group-IB의 정보에 따라 행동합니다. XNUMX명의 회원을 체포 500,000개 이상의 국가에서 150개의 엄청난 조직을 손상시킨 것으로 생각되는 TMT라는 그룹의 조직입니다.
BEC 사기에서 스푸핑 또는 도난당한 이메일 계정을 사용하는 공격자는 일반적으로 피해자 조직의 표적 관리를 속여 일반적으로 다른 국가에 기반을 둔 공격자가 제어하는 은행 계좌로 전신 송금을 하도록 합니다. 예를 들어, 공격자는 합법적인 공급업체나 공급업체로 가장하여 조직이 사기성 송장을 지불하도록 속일 수 있습니다. 이러한 사기에는 사기범이 종종 고위 경영진이나 대상 회사의 전신환 지불과 관련된 사람인 척 가장하는 표적 피싱 및 사회 공학이 많이 포함됩니다.
수많은 공공 및 민간 부문 기업이 이러한 사기로 인해 수만 달러에서 수십만 달러의 손실을 입었습니다. 지난 XNUMX월, FBI보고 19,369년에 2020건의 BEC 관련 불만이 접수되어 피해자에게 총 1.9억 달러, 즉 그 해 모든 형태의 사이버 범죄로 인한 총 손실액 4.1억 달러의 거의 절반을 차지했습니다.
Armorblox의 최고 보안 책임자인 Brian Johnson은 BEC 사기에 대한 위협 행위자의 관심이 여전히 높다고 말합니다. 왜냐하면 이러한 공격이 다른 벡터와 비교할 때 얼마나 효과적일 수 있기 때문입니다.
"현재 비즈니스 환경에서 모든 직원은 공개적으로 사용되는 이메일 주소를 가지고 있습니다."라고 그는 말합니다. "회사 내의 다른 인프라와 달리 이메일 시스템은 공개적으로 액세스할 수 있으며 누구나 액세스할 수 있어야 합니다."
이 사실은 공격자가 조직의 비즈니스 워크플로를 이해하는 것이 얼마나 사소한 일인지와 결합되어 BEC 공격을 쉽게 설계하고 실행할 수 있습니다. 또한 BEC는 종종 다른 형태의 공격에 대한 관문이라고 Johnson은 말합니다.
그는 "BEC 벡터로 시작하는 많은 위협이 랜섬웨어와 같은 다른 형태의 사이버 공격으로 빠르게 변모하는 것을 목격했습니다."라고 말했습니다.
Palo Alto Networks' Unit 42의 수석 연구원인 Pete Renals는 그의 회사가 원격 측정, 악성 코드 분석 및 포렌식 지원을 제공하여 XNUMX명의 SilverTerrier 회원을 체포했다고 말했습니다.
"이전에 2020년 42월에 체포된 후 XNUMX부대는 SilverTerrier의 구성원을 기소하려는 노력에 도움이 될 배우와 그 동료에 대한 역사적 포렌식 세부 정보를 확인했습니다."라고 그는 말합니다.
Renals는 Operation Falcon II를 BEC 사기로부터 직접적으로 금전적 이득을 취하는 돈 노새와 다른 사람들을 대상으로 하는 일반적인 법 집행 전술과 다른 접근 방식을 취하는 것으로 설명합니다.
"대신, 이러한 계획에 사용되는 맬웨어 및 도메인 인프라를 구축 및 배포할 수 있는 기술과 지식을 보유한 행위자를 대상으로 하여 BEC 운영의 기술적 중추에 주로 초점을 맞췄습니다."라고 그는 말합니다.
형사처벌의 영향
사이버 범죄 활동에 대한 체포 및 법 집행 기관의 단속이 흔히 그렇듯이 Operation Falcon II가 BEC 환경에 어떻게 그리고 영향을 미칠지 여부는 불분명합니다.
한 가지 요인은 활동에 참여하는 사이버 범죄자의 수입니다. Renals에 따르면 Palo Alto Networks는 현재 SilverTerrier 작업에만 연결된 500명 이상의 위협 행위자를 추적하고 있습니다.
이전에 체포된 사람들은 범죄자들이 BEC 사기에 다시 들어가는 것을 막는 데 거의 효과가 없었습니다. 예를 들어, 팔로 알토 네트웍스가 팔콘 II 작전의 일환으로 체포를 도운 개인 Darlington Ndukwu는 이전에 WireWire라는 FBI 작전의 일환으로 2018년에 체포되었습니다. 그는 그 이후로 SilverTerrier 운영의 일부로 계속 운영되어 초기 기소가 비효율적임을 시사한다고 Palo Alto Networks가 말했습니다. 이와 유사하게, 최근의 법 집행 조치에 갇힌 또 다른 SilverTerrier 요원인 Onuegwu Ifeanyi Ephraim은 2020년 XNUMX월 나이지리아의 법 집행 활동에서 세 명의 동료와 함께 이전에 체포되었습니다.
Armorblox의 Johnson은 BEC 활동의 글로벌 핫스팟인 나이지리아에도 기술 인프라가 호황을 누리고 있으며 기술에 정통한 인재 풀이 있다고 말했습니다. 100억 명 이상의 나이지리아인이 고속 광대역 인터넷에 접속할 수 있으며 이 숫자는 기하급수적으로 증가하고 있습니다. 그는 또한 국가에 고도로 숙련된 사이버 보안 인재 기반이 있다고 말합니다.
Johnson은 "동유럽, 러시아 및 북한은 BEC 활동의 다른 상위 XNUMX개 핫스팟입니다."라고 말합니다. "그들은 BEC 및 랜섬웨어 및 암호화를 포함한 다른 형태의 공격과 함께 움직입니다."
