Η Interpol ανακοίνωσε ότι τρεις Νιγηριανοί που φέρονται να ανήκουν σε μια hacking ομάδα συνελήφθησαν χθες στη Νιγηρία και συγκεκριμένα στην πρωτεύουσά της, το Λάγος. Η εγκληματική συμμορία έχει πραγματοποιήσει πολυάριθμες επιθέσεις σε όλο τον κόσμο, με τα θύματά τις να ανέρχονται στις δεκάδες χιλιάδες. Σε μια έκθεση που αποκαλύπτει τη συμμετοχή της στην έρευνα για την εξιχνίαση της υπόθεσης, η εταιρεία ασφαλείας “Group-IB” δήλωσε ότι οι τρεις ύποπτοι είναι μέλη μιας hacking ομάδας, η οποία είναι γνωστή με την κωδική ονομασία “TMT” και αναπτύσσει δραστηριότητα από το 2019.
Η Group-IB ανέφερε ότι η εν λόγω hacking ομάδα έχει πραγματοποιήσει επιθέσεις κυρίως ενορχηστρώνοντας μαζικές spam email εκστρατείες, κατά τις οποίες έστελνε στα υποψήφια θύματα αρχεία με malware. Για να στείλει τα spam emails, η ομάδα χρησιμοποιούσε τα εργαλεία αυτοματοποίησης email “Gammadyne Mailer” και “Turbo-Mailer” και στη συνέχεια βασιζόταν στο “MailChimp” για να παρακολουθήσει εάν ένας παραλήπτης άνοιγε τα emails που του έστελνε. Τα συνημμένα αρχεία περιείχαν διάφορα στελέχη malware, τα οποία παρείχαν στους εισβολείς πρόσβαση σε μολυσμένους υπολογιστές, όπου εστίαζαν στην κλοπή credentials από browsers, emails και FTP clients.
Σύμφωνα με την Group-IB, η ομάδα κυβερνοεγκλήματος βασίστηκε αποκλειστικά σε μια ποικιλία διαθέσιμων στο κοινό στελεχών malware, όπως τα AgentTesla, Loky, AzoRult, Pony, NetWire – τα οποία είναι διαθέσιμα για δωρεάν λήψη ή διατίθενται προς πώληση σε φτηνές τιμές σε υπόγεια φόρουμ.
Μόλις οι χάκερς αποκτούσαν πρόσβαση σε credentials, πραγματοποιούσαν BEC επιθέσεις. Πρόκειται για ένα είδος διαδικτυακής απάτης κατά την οποία προσπαθούσαν να εξαπατήσουν τις εταιρείες ώστε να πραγματοποιήσουν πληρωμές σε λάθος λογαριασμούς που ελέγχονταν από τα μέλη της ομάδας.
Η TMT έστελνε spam emails σε διάφορες γλώσσες, ενώ κατάφερε να μολύνει εταιρείες σε μεγάλο αριθμό χωρών, συμπεριλαμβανομένων των ΗΠΑ, του Ηνωμένο Βασίλειο, της Σιγκαπούρης, της Ιαπωνίας και της Νιγηρίας.
Με την έρευνα για τη δράση της hacking ομάδας να βρίσκεται σε εξέλιξη, η Interpol και η Group-IB δήλωσαν ότι μπόρεσαν να εντοπίσουν περισσότερους από 50.000 οργανισμούς που έχουν μολυνθεί από malware της ομάδας. Συνολικά, περισσότερες από 500.000 κρατικές και ιδιωτικές εταιρείες σε πάνω από 150 χώρες έλαβαν emails από την ομάδα. Επιπλέον, η Group-IB επεσήμανε ότι η ομάδα ήταν οργανωμένη σε πολλές μικρότερες υποομάδες, ενώ πολλά από τα μέλη της εξακολουθούν να είναι ελεύθερα.
Αξίζει να σημειωθεί πως ένας εκπρόσωπος της Group-IB δήλωσε ότι αυτή η ομάδα, της οποίας μέλη συνελήφθησαν στη Νιγηρία, δεν είναι η ίδια ομάδα “TMT” που αναφέρεται σε μια έκθεση της Advanced Intel του 2019, ως ένας από τους κύριους διανομείς του REvil ransomware.