Интерпол сообщил о международной операции Falcon II, в ходе которой были задержаны 11 интернет-мошенников, включая нескольких членов BEC-группировки SilverTerrier (она же TMT), существовавшей с 2019 года.
Термином BEC-атаки (Business Email Compromise) называют случаи, когда злоумышленники начинают переписку с сотрудником компании с целью завоевать его доверие и убедить выполнить действия, идущие во вред интересам компании или ее клиентам. Зачастую для этого используются взломанные аккаунты сотрудников или адреса, которые визуально похожи на официальные адреса компании, но отличаются на несколько символов.
Операция была проведена объединенными усилиями Глобальной рабочей группы Интерпола по борьбе с финансовым преступлениями и правоохранительных органов Нигерии, а также при участии ряда частных ИБ-компаний, включая Group-IB и Palo Alto Networks.
Эксперты Group-IB рассказывают, что операция стала продолжением более ранней Falcon I, проведенной Интерполом, Group-IB и полицией Нигерии в ноябре 2020 года. Тогда было задержано трое преступников, предположительно имеющих отношение к группе ТМТ, которой приписывается компрометация 500 000 email-адресов государственных и частных компаний компаний по всему миру. Расследование продолжалось, и часть киберпреступников, выявленных Group-IB, на тот момент оставались на свободе.
Сообщается, что эксперты Group-IB в Сингапуре внесли существенный вклад в обе операции, поделившись информацией об участниках группы SilverTerrier, идентифицировав инфраструктуру злоумышленников, собрав цифровые доказательства совершенных преступлений и данные, идентифицирующие их личности.
Операция Falcon II длилась 10 дней (с 13 по 22 декабря), и для задержания преступников полиция Нигерии отправила 10 своих сотрудников из штаб-квартиры, расположенной в столице страны Абудже, в города Лагос и Асаба.
В пресс-релизе Интерпола подчеркивается, что после криминалистического анализа данных, извлеченных из телефонов и компьютеров подозреваемых, изъятых во время обысков, было обнаружено, что 11 человек связаны с атаками на более чем 50 000 целей.
Так, у одного из задержанных на ноутбуке хранилось более 800 000 учетных данных потенциальных жертв. Другой арестованный отслеживал коммуникации между 16 компаниями и их клиентами и перенаправлял все их денежные переводы на счета, принадлежащие группе SilverTerrier. Еще один хакер участвовал в кампаниях по компрометации электронной почты, направленных против организаций из Западной Африки, в том числе из Нигерии, Гамбии и Ганы.