Un grupo de ciberdelincuentes, considerado responsable de una serie de robos dirigidos contra bancos africanos, continuó sus ataques contra instituciones financieras del continente hasta bien entrado 2022, según una nueva investigación de Symantec.
En un informe publicado el jueves, los investigadores de Symantec informaron de que el grupo, al que rastrean como «Bluebottle», llevó a cabo ataques contra bancos africanos hasta septiembre del año pasado, ofreciendo nuevas perspectivas sobre las tácticas y herramientas del grupo y confirmando que el grupo sigue siendo una amenaza para las instituciones financieras allí.
Los investigadores de Group-IB, una empresa de ciberseguridad con sede en Singapur, informaron en noviembre de que un grupo de ciberdelincuentes francófonos, al que denominaron «OPERA1ER», había perpetrado una serie de atracos contra bancos de todo el mundo, obteniendo hasta 30 millones de dólares en un periodo de cuatro años.
«Bluebottle» y «OPERA1ER» parecen ser el mismo grupo, pero sus tácticas hacen difícil afirmar con rotundidad que la actividad observada por las dos empresas corresponda al mismo actor. Tanto Symantec como Group-IB informaron de que el grupo utiliza herramientas de uso común en muchas campañas de ransomware y otras operaciones de ciberdelincuencia, lo que dificulta la atribución definitiva de los ataques.
El informe del jueves de Symantec, una división de Broadcom Software, se basa en datos asociados con ataques a bancos en tres países africanos entre julio y septiembre de 2022. Según los investigadores, se vieron comprometidas tres instituciones financieras diferentes en los tres países.
El objetivo a corto plazo de los ataques parece ser, en parte, la persistencia en la red de la víctima y el robo de credenciales.
No está claro si Bluebottle monetizó con éxito los ataques, señalaron los investigadores de Symantec. Los ataques anteriores documentados por Group-IB parecen haberle reportado al grupo criminal al menos 11 millones de dólares, pero la cantidad total robada podría ascender a 30 millones de dólares. Activo desde al menos 2016, el grupo ha recurrido en el pasado a retiradas de dinero en cajeros automáticos para hacer efectivos sus atracos.
En última instancia, las personas detrás de estas operaciones han demostrado un éxito notable a lo largo de los años, dijeron los investigadores. «La eficacia de sus campañas significa que es poco probable que Bluebottle detenga esta actividad», añadieron.
El reporte documenta una ligera evolución potencial en las tácticas del grupo. Los investigadores de Symantec observaron que Bluebottle utilizaba archivos ISO como vector de infección inicial, algo que no parece haber estado presente en los ataques estudiados por Group-IB.