Cảnh sát Nigeria, với sự giúp đỡ của Interpol, đã bắt giữ 11 cá nhân ở nước này vì bị cáo buộc liên quan đến các vụ lừa đảo xâm nhập email doanh nghiệp (BEC) liên quan đến hơn 50,000 mục tiêu trên toàn thế giới.
Sáu trong số những người bị bắt được xác định là thành viên của SilverTerrier, một băng đảng BEC nổi tiếng được cho là đã gây hại cho hàng nghìn công ty trên toàn cầu và đã trốn truy tố thành công trong hơn XNUMX năm.
Một máy tính xách tay thuộc một trong 11 đặc vụ BEC bị cáo buộc chứa khoảng 800,000 tên người dùng và thông tin đăng nhập thuộc các tổ chức nạn nhân tiềm năng. Một cá nhân khác bị bắt được phát hiện đã theo dõi các cuộc trò chuyện giữa 16 công ty và khách hàng của họ, cũng như cố gắng chuyển tiền vào tài khoản SilverTerrier khi các giao dịch giữa họ sắp được thực hiện, Interpol cho biết hôm thứ Tư.
Vụ bắt giữ xảy ra vào tháng 10 và đánh dấu đỉnh điểm của chiến dịch kéo dài 42 ngày mang tên Chiến dịch Falcon II, trong đó Lực lượng Cảnh sát Nigeria (NPF) sử dụng thông tin do Interpol cung cấp để bắt giữ những kẻ tình nghi ở các thành phố Lagos và Asaba. Là một phần của hoạt động, NPF đã làm việc với các cơ quan thực thi pháp luật ở một số quốc gia đang tích cực điều tra hoạt động BEC ở Nigeria. Cùng đóng góp vào nỗ lực này còn có Đơn vị XNUMX của Palo Alto Networks và Nhóm Điều tra Không gian mạng APAC của Group-IB.
Craig Jones, giám đốc tội phạm mạng của Interpol cho biết: “Chiến dịch Falcon II gửi một thông điệp rõ ràng rằng tội phạm mạng sẽ có những hậu quả nghiêm trọng đối với những kẻ liên quan đến gian lận thỏa hiệp email doanh nghiệp. “INTERPOL đang xếp hạng các băng nhóm như 'SilverTerrier'; khi các cuộc điều tra tiếp tục được mở ra, chúng tôi đang xây dựng một bức tranh rất rõ ràng về cách các nhóm như vậy hoạt động và tham nhũng để thu lợi tài chính ”.
Đây là hoạt động lớn thứ hai do Interpol phối hợp chống lại các thành viên BEC ở Nigeria trong những năm gần đây. Vào tháng 2020 năm XNUMX, NPF hoạt động dựa trên thông tin từ Interpol và Group-IB, bắt ba thành viên của một nhóm có tên TMT được cho là đã xâm nhập vào 500,000 tổ chức đáng kinh ngạc tại hơn 150 quốc gia.
Trong các trò gian lận BEC, những kẻ tấn công sử dụng tài khoản email giả mạo hoặc bị đánh cắp thường lừa các quan chức được nhắm mục tiêu tại một tổ chức nạn nhân thực hiện chuyển khoản ngân hàng đến các tài khoản ngân hàng do kẻ tấn công kiểm soát, thường có trụ sở ở một quốc gia khác. Ví dụ: kẻ tấn công có thể giả danh nhà cung cấp hoặc nhà cung cấp hợp pháp để lừa tổ chức thanh toán hóa đơn gian lận. Những trò gian lận này liên quan đến nhiều hoạt động lừa đảo có mục tiêu và kỹ thuật xã hội, trong đó những kẻ lừa đảo thường giả vờ là một giám đốc điều hành cấp cao hoặc một người nào đó liên quan đến các khoản thanh toán chuyển khoản ngân hàng tại công ty mục tiêu.
Nhiều tổ chức thuộc khu vực công và tư nhân đã mất hàng chục đến hàng trăm nghìn đô la cho những trò gian lận này. Tháng XNUMX năm ngoái, FBI báo cáo nhận được 19,369 đơn khiếu nại liên quan đến BEC vào năm 2020 khiến nạn nhân thiệt hại 1.9 tỷ đô la, hoặc gần một nửa trong tổng số 4.1 tỷ đô la tổng thiệt hại do tất cả các hình thức tội phạm mạng trong năm đó.
Brian Johnson, giám đốc an ninh tại Armorblox, cho biết mối quan tâm của kẻ đe dọa đối với các trò gian lận BEC vẫn ở mức cao vì các cuộc tấn công này có thể hiệu quả như thế nào so với các vectơ khác.
Ông nói: “Trong môi trường kinh doanh hiện tại, mọi nhân viên đều có một địa chỉ email công khai. “Không giống như các cơ sở hạ tầng khác trong công ty, hệ thống email được mở cho quyền truy cập công khai và mọi người và mọi người cần có thể truy cập được”.
Thực tế này, kết hợp với mức độ thường xuyên của những kẻ tấn công trong việc hiểu quy trình kinh doanh của một tổ chức, làm cho các cuộc tấn công BEC trở nên dễ dàng thiết kế và thực thi. Ngoài ra, BEC thường là cửa ngõ cho các hình thức tấn công khác, Johnson nói.
Ông nói: “Chúng tôi đã thấy nhiều mối đe dọa bắt đầu dưới dạng véc tơ BEC nhanh chóng biến thành các dạng tấn công mạng khác như ransomware.
Pete Renals, nhà nghiên cứu chính của Đơn vị 42 của Palo Alto Networks, cho biết công ty của ông đã cung cấp dịch vụ đo từ xa, phân tích phần mềm độc hại và hỗ trợ pháp y dẫn đến việc bắt giữ sáu thành viên SilverTerrier.
“Trước đây, sau vụ bắt giữ vào tháng 2020 năm 42, Đơn vị XNUMX xác định rằng chúng tôi có các chi tiết pháp y lịch sử về các diễn viên và cộng sự của họ sẽ hỗ trợ nỗ lực truy tố các thành viên của SilverTerrier,” anh nói.
Renals mô tả Chiến dịch Falcon II thực hiện một cách tiếp cận khác với chiến thuật thực thi pháp luật thông thường nhằm nhắm mục tiêu vào những con la tiền và những kẻ khác trực tiếp hưởng lợi từ các trò gian lận BEC.
Ông nói: “Thay vào đó, nó tập trung chủ yếu vào xương sống kỹ thuật của hoạt động BEC bằng cách nhắm mục tiêu vào các tác nhân có kỹ năng và kiến thức để xây dựng và triển khai phần mềm độc hại và cơ sở hạ tầng tên miền được sử dụng trong các kế hoạch này”.
Tác động của việc gỡ bỏ tội phạm
Như thường lệ xảy ra với các vụ bắt giữ và triệt phá hoạt động tội phạm mạng của cơ quan thực thi pháp luật, vẫn chưa rõ liệu Chiến dịch Falcon II có tạo ra vết rạn trong bối cảnh BEC hay không.
Một yếu tố là số lượng tuyệt đối tội phạm mạng tham gia vào hoạt động này. Theo Renals, Palo Alto Networks hiện đang theo dõi hơn 500 tác nhân đe dọa chỉ liên quan đến hoạt động SilverTerrier.
Các vụ bắt giữ trước đây hầu như không ngăn được bọn tội phạm quay trở lại với các trò gian lận của BEC. Ví dụ, Darlington Ndukwu, một cá nhân được Palo Alto Networks giúp bắt giữ trong khuôn khổ Chiến dịch Falcon II, trước đó đã bị bắt vào năm 2018 trong khuôn khổ hoạt động của FBI có tên WireWire. Palo Alto Networks cho biết anh ta đã tiếp tục hoạt động như một phần của hoạt động SilverTerrier kể từ đó, cho thấy việc truy tố ban đầu là không hiệu quả. Tương tự như vậy, Onuegwu Ifeanyi Ephraim, một đặc vụ SilverTerrier khác, người đã bị mắc kẹt trong hành động thực thi pháp luật gần đây, trước đó đã bị bắt - cùng với ba cộng sự - trong hành động thực thi pháp luật vào tháng 2020 năm XNUMX ở Nigeria.
Armorblox's Johnson cho biết Nigeria, một điểm nóng toàn cầu cho hoạt động BEC, cũng có cơ sở hạ tầng công nghệ đang bùng nổ và đội ngũ nhân tài rất am hiểu về công nghệ. Hơn 100 triệu người Nigeria có quyền truy cập Internet băng thông rộng tốc độ cao và con số này đang tăng lên theo cấp số nhân. Ông nói, đất nước này cũng có một nền tảng lớn về nhân tài an ninh mạng có tay nghề cao.
Johnson lưu ý: “Đông Âu, Nga và Triều Tiên là ba điểm nóng hàng đầu khác cho hoạt động của BEC. “Chúng đi đôi với BEC và các hình thức tấn công khác, bao gồm cả ransomware và tiền điện tử”.
