Operation Delilah: Group-IB hilft INTERPOL, mutmaßlichen Anführer eines transnationalen Phishing-Rings zu finden

Group-IB, einer der weltweit führenden Anbieter von Cybersicherheit, hat bei der von INTERPOL koordinierten Untersuchung geholfen, die darauf abzielt, ein transnationales Phishing-Syndikat, das von Group-IB (auch bekannt als SilverTerrier) TMT genannt wird, zu stören. Im Rahmen der Operation Delilah, die sich über vier Kontinente erstreckte, lieferte Group-IB Bedrohungsinformationen, die zur Identifizierung des mutmaßlichen Chefs eines Cybercrime-Syndikats führten, das Massen-Phishing-Kampagnen und BEC-Programme (Business Email Compromise) startete, die auf Tausende von Unternehmen und einzelnen Opfern abzielten. Die Verhaftung eines 37-jährigen Nigerianers durch die nigerianische Polizei markierte den Höhepunkt der einjährigen internationalen Operation, die von der Direktion für Cyberkriminalität der INTERPOL koordiniert und erleichtert und von Group-IB, Palo Alto Networks und Trend Micro unterstützt wurde.

Wer ist TMT?

Delilah ist die dritte in einer Reihe von Strafverfolgungsmaßnahmen, die darauf abzielen, die mutmaßlichen Mitglieder von TMT (alias SilverTerrier), einem produktiven BEC- und Phishing-Syndikat, zu identifizieren und zu verhaften. Delilah gingen die von INTERPOL geführten Falcon I  und Falcon II voraus, die 2020 und 2021 mit Unterstützung des Cyber Investigations Teams der Group-IB durchgeführt wurden. Die beiden vorangegangenen Operationen führten zur Verhaftung von 14 mutmaßlichen Mitgliedern des Syndikats.

Group-IB verfolgt TMT seit 2019. Bis 2020 sollte TMT mehr als 500.000 Unternehmen in mehr als 150 Ländern kompromittiert haben. Laut INTERPOL war einer der Verdächtigen, die während Falcon II in Nigeria verhaftet wurden, im Besitz von mehr als 800.000 potenziellen Opfer-Domain-Anmeldeinformationen auf seinem Laptop.

Verfolgung der Bewegungen des Verdächtigen, online und offline

Im Mai 2021 wurde die Polizeioperation mit dem Codenamen Delilah durch eine Geheimdienstempfehlung von Group-IB, Palo Alto Networks – Unit 42 und Trend Micro eingeleitet. Die Informationen wurden dann von Analysten im Cyber Fusion Centre von INTERPOL bereichert. Die Afrikanische Gemeinsame Operation von INTERPOL gegen Cyberkriminalität (AFJOC) verwies die Informationen dann an Nigeria und verfolgte mehrere von den Strafverfolgungsbehörden in Australien, Kanada und den Vereinigten Staaten unterstützte Fallkoordinationstreffen.

Die Ermittler begannen, die angeblichen bösartigen Online-Aktivitäten des Verdächtigen zu kartieren und zu verfolgen, dank der Ad-hoc-Unterstützung der Firma CyberTOOLBELT des privaten Sektors, sowie seine körperlichen Bewegungen zu verfolgen, als er von einem Land in ein anderes reiste. Die nigerianischen Strafverfolgungsbehörden haben den Verdächtigen erfolgreich am Murtala Muhammed International Airport in Lagos festgenommen.

Foto des Verdächtigen. Quelle: INTERPOL

Recommended Posts