{"id":266025,"date":"2022-06-03T19:59:29","date_gmt":"2022-06-03T17:59:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=266025"},"modified":"2022-06-06T21:46:55","modified_gmt":"2022-06-06T19:46:55","slug":"interpool-verhaftet-3-nigerianische-bec-cyberkriminelle-2-juni-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/03\/interpool-verhaftet-3-nigerianische-bec-cyberkriminelle-2-juni-2022\/","title":{"rendered":"Interpol verhaftet 3 nigerianische BEC-Cyberkriminelle (2. Juni 2022)"},"content":{"rendered":"

\"Paragraph\"[English<\/a>]Drei Nigerianer, die als Drahtzieher von weltweiten Online-Betr\u00fcgereien im Verdacht stehen, wurden jetzt bei der INTERPOL-Operation Killer Bee durch die nigerianische Polizei verhaftet. Die Operation ist eine Ma\u00dfnahme von INTERPOL zur Bek\u00e4mpfung von Malware-Cyberbetrug in ganz S\u00fcdostasien. Die BEC-Betr\u00fcger setzten u.a. den Remote Access Trojaner (RAT) Agent Tesly ein. Die Luft f\u00fcr Internetkriminelle wird in afrikanischen L\u00e4ndern wie Nigeria so langsam erheblich d\u00fcnner.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Tweet<\/a> auf die Mitteilung von INTERPOL<\/a> sowie von diesen Artikel<\/a> von Trend Micro aufmerksam geworden. INTERPOL ist es mit der nigerianische Polizei gelungen f\u00fchrende K\u00f6pfe einer BEC-Bande (Business Email Compromise) zu verhaften.<\/p>\n

\"Online<\/a><\/p>\n

Die Economic and Financial Crimes Commission (EFCC) verhaftete die Verd\u00e4chtigen in einer verdeckten Operation, die gleichzeitig im Lagoser Vorort Ajegunle und in Benin City, 300 km \u00f6stlich der Handelshauptstadt, durchgef\u00fchrt wurde.<\/p>\n

Die nigerianische verdeckte Operation ist Teil einer weltweiten Operation mit dem Codenamen \"Killer Bee\", an der das Generalsekretariat von INTERPOL, die nationalen Zentralb\u00fcros (NCBs) und Strafverfolgungsbeh\u00f6rden in 11 L\u00e4ndern S\u00fcdostasiens beteiligt sind.<\/p>\n

Agent Tesla RAT verwendet<\/h2>\n

Die Verhaftungen erfolgten nach der Ver\u00f6ffentlichung eines INTERPOL Cyber Reports, der ein mutma\u00dfliches Syndikat nigerianischer Betr\u00fcger, die von der Westk\u00fcste Afrikas aus operieren, mit der Verwendung eines b\u00f6sartigen Remote Access Trojaners (RAT) namens Agent Tesla in Verbindung bringt.<\/p>\n

Die M\u00e4nner sollen den RAT benutzt haben, um Finanztransaktionen umzuleiten und vertrauliche Online-Verbindungsdaten von Unternehmen, einschlie\u00dflich \u00d6l- und Gasfirmen in S\u00fcdostasien, dem Nahen Osten und Nordafrika, zu stehlen. Dazu schreibt Trend Micro in diesem Artikel<\/a>, Anfang 2020 Unternehmen der \u00d6l- und Gasindustrie von b\u00f6swilligen Akteuren mit der Agent Tesla-Malware angegriffen wurden. Das passierte kurz vor einer Vereinbarung der Organisation der Erd\u00f6l exportierenden L\u00e4nder (OPEC) \u00fcber die Drosselung der \u00d6lproduktion in Russland und Saudi-Arabien aufgrund der Covid-19-Pandemie.<\/p>\n

Durch die Analyse einer in diesem Angriff verwendeten Probe (erkannt als TrojanSpy.MSIL.NEGASTEAL.THCAFBB mit dem SHA-256-Hash 0f67d58cb68cf3c5f95308f2542df6ff2e9444dc3efe9dd99dc24ab0f48a4756) konnten die Trend Micro-Sicherheitsspezialisten die b\u00f6swilligen Akteure hinter der Malware und ihren Modus Operandi aufdecken, der darin bestand, sich als gro\u00dfes Erd\u00f6lunternehmen in \u00c4gypten zu tarnen.<\/p>\n

Die analysierte Malware kann Informationen und Anmeldedaten in Anwendungen und Protokollen wie Browsern, E-Mail-Clients, File Transfer Protocol (FTP) und Wi-Fi stehlen, um nur einige zu nennen. Dar\u00fcber hinaus kann sie auch Tastatureingaben protokollieren und Screenshots erstellen. Die Akteure, die Agent Tesla einsetzten, nutzten den Yandex-E-Mail-Dienst als Ablageort.<\/p>\n

\"Agent
\nAgent Tesla victims in countries, Source: Trend Micro<\/p>\n

Anhand der Telemetriedaten konnten die Sicherheitsforscher feststellen, dass dieser RAT vor allem in L\u00e4ndern des Nahen Ostens und S\u00fcdostasiens Opfer befiel. Das macht durchaus Sinn, da die meisten \u00f6lproduzierenden Organisationen, Fabriken und Unternehmen aus diesen Regionen stammen. Obige Abbildung zeigt die Verteilung der E-Mail-Funde mit dem Remote Access Trojan (RAT) \u00fcber einzelne L\u00e4nder. Die Empf\u00e4nger erhielten die pr\u00e4parierte E-Mail vorgeblich von einem gro\u00dfen Erd\u00f6lunternehmen (Quelle: Erd\u00f6lministerium in \u00c4gypten), aber die Absender waren die Hinterm\u00e4nner der kriminellen Bande.<\/p>\n

Nach monatelangen Ermittlungen konnten die Trend Micro-Sicherheitsforscher die b\u00f6swilligen Akteure hinter den Kampagnen identifizieren und sie Interpol und der nigerianischen Kommission f\u00fcr Wirtschafts- und Finanzkriminalit\u00e4t (EFCC) vorlegen. Dar\u00fcber hinaus konnten die Spezialisten die Auswirkungen der Malware in Bezug auf Infektionen und finanzielle Verluste aufkl\u00e4ren. Schlie\u00dflich konnten auch den Modus Operandi der b\u00f6sartigen Akteure aufgekl\u00e4rt werden. Diese aus Nigeria stammenden b\u00f6sartigen Akteure sind f\u00fcr die Verwendung von Malware wie LokiBot und Agent Tesla bekannt.<\/p>\n

Erstes (mildes) Urteil<\/h2>\n

Einer der Betr\u00fcger, Hendrix Omorume, wurde wegen schweren Finanzbetrugs in drei F\u00e4llen angeklagt und verurteilt und muss nun eine 12-monatige Haftstrafe antreten. Die beiden anderen M\u00e4nner stehen laut INTERPOL-Meldung noch vor Gericht. INTERPOL und andere Strafverfolgungsbeh\u00f6rden gehen in letzter Zeit verst\u00e4rkt gegen Cyberkriminelle, die in Afrika operieren, vor (siehe Links am Artikelende).<\/p>\n

\"Durch sein globales Polizeinetzwerk und die st\u00e4ndige \u00dcberwachung des Cyberspace verf\u00fcgte INTERPOL \u00fcber die notwendigen globalen Informationen, um Nigeria vor einer ernsthaften Sicherheitsbedrohung zu warnen, bei der ohne schnelles polizeiliches Handeln Millionen h\u00e4tten verloren gehen k\u00f6nnen\", sagte der INTERPOL-Direktor f\u00fcr Cyberkriminalit\u00e4t, Craig Jones.<\/p>\n

\"Weitere Verhaftungen und strafrechtliche Verfolgungen sind auf der ganzen Welt vorgesehen, da die Informationen weiterhin eintreffen und die Ermittlungen voranschreiten\", f\u00fcgte Herr Jones hinzu.<\/p>\n

INTERPOL half bei der Untersuchung der Laptops und Mobiltelefone, die von der EFCC w\u00e4hrend der Verhaftungen beschlagnahmt wurden, und trug dazu bei, den systematischen Einsatz der \"Agent Tesla\"-Malware zu best\u00e4tigen, um auf Gesch\u00e4ftscomputer zuzugreifen und Geldtransaktionen auf eigene Konten umzuleiten.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nInterpol verhaftet nigerianischen Kopf einer BEC-Betr\u00fcgerbande<\/a>
\nOperation Falcon II: Interpol und nigerianische Polizei verhaften 11 Cyberkriminelle<\/a>
\nLonely Nigerianer phisht 4.000 Firmen<\/a>
\nDumm gelaufen: Malware-Infektion verr\u00e4t Nigeria Connection<\/a>
\nHack einer Krypto-Plattform: S\u00fcdafrikanische Br\u00fcder 'verschwinden' mit 3,6 Milliarden $ in Bitcoins<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Drei Nigerianer, die als Drahtzieher von weltweiten Online-Betr\u00fcgereien im Verdacht stehen, wurden jetzt bei der INTERPOL-Operation Killer Bee durch die nigerianische Polizei verhaftet. Die Operation ist eine Ma\u00dfnahme von INTERPOL zur Bek\u00e4mpfung von Malware-Cyberbetrug in ganz S\u00fcdostasien. Die BEC-Betr\u00fcger setzten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-266025","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266025","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=266025"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266025\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=266025"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=266025"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=266025"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}