A Microsoft, continuiamo a cercare modi creativi per proteggere le persone online e a tolleranza zero verso coloro che creano copie fraudolenti dei nostri prodotti per danneggiare gli altri. Gli account online fraudolenti agiscono come gateway per atti di crimine informatico, tra cui phishing di massa, furto di identità e frode e attacchi DDoS. Ecco perché oggi, noi, con gli importanti dati analitici di intelligence sulle minacce di Arkose Labs, un fornitore di servizi di difesa e gestione di bot leader del settore, stiamo cercando il venditore e creatore principale di account Microsoft fraudolenti, un gruppo che chiamiamo Storm-1152. Stiamo inviando un duro messaggio a coloro che cercano di creare, vendere o distribuire prodotti Microsoft fraudolenti per il crimine informatico: stiamo osservando, prendendo appunti e adotteremo misure per proteggere i nostri clienti. Storm-1152 gestisce siti web e pagine di social media illeciti, vendendo strumenti e account Microsoft fraudolenti per superare la verifica dell'identità sulle più note piattaforme di tecnologia. Questi servizi riducono il tempo e il lavoro necessari per condurre una serie di comportamenti criminali e abusivi online. A oggi, Storm-1152 ha creato e venduto circa 750 milioni di account Microsoft fraudolenti, con un guadagno per il gruppo di milioni di dollari in ricavi illeciti e un costo ancora maggiore per Microsoft e altre aziende che devono combattere tale attività criminale. Con l'azione di oggi, il nostro obiettivo è scoraggiare il comportamento criminale. Cercando di rallentare la velocità alla quale i criminali informatici lanciano i propri attacchi, puntiamo a far crescere i loro costi di attività continuando nel frattempo a indagare e a proteggere i nostri clienti e altri utenti online.
Ottieni informazioni dettagliate dagli esperti su Microsoft Threat Intelligence Podcast. Ascolta adesso.
Bloccare i servizi gateway per impedire le minacce informatiche
Storm-1152 gioca un ruolo importante nell'ecosistema cybercrime-as-a-service altamente specializzato. I criminali informatici hanno bisogno di account fraudolenti per supportare le proprie attività criminali in gran parte automatizzate. Con le aziende in grado di identificare rapidamente e bloccare gli account fraudolenti, i criminali richiedono una maggiore quantità di account per eludere il lavoro di mitigazione. Invece di spendere denaro provando a creare migliaia di account fraudolenti, i criminali informatici possono semplicemente acquistarli da Storm-1152 e altri gruppi. Questo consente ai criminali informatici di concentrare i propri sforzi sul loro obiettivo finale di phishing, spamming, ransomware e altri tipi di frodi e abusi. Storm-1152 e altri gruppi simili consentono a tantissimi criminali informatici di portare a termine le proprie attività dannose in modo più efficiente ed efficace.
Microsoft Threat Intelligence ha identificato diversi gruppi coinvolti in ransomware, furto ed estorsione di dati che hanno usato gli account di Storm-1152. Ad esempio, Octo Tempest, noto anche come Scattered Spider, ha ottenuto account Microsoft fraudolenti da Storm-1152. Octo Tempest è un gruppo finanziariamente motivato che sfrutta le campagne di social engineering per compromettere le organizzazioni in tutto il globo con l'obiettivo di estorsione finanziaria. Microsoft continua a tracciare più attori di minacce autori di estorsioni o ransomware che hanno acquistato account fraudolenti da Storm-1152 per migliorare i propri attacchi, tra cui Storm-0252 e Storm-0455.
Giovedì 7 dicembre, Microsoft ha ottenuto un'ordinanza del tribunale del Southern District of New York per sequestrare l'infrastruttura con sede negli Stati Uniti e rimuovere i siti web offline usati da Storm-1152 per danneggiare i clienti Microsoft. Anche se il nostro caso è incentrato sugli account Microsoft fraudolenti, i siti web interessati hanno anche venduto servizi per superare le misure di sicurezza di altre piattaforme di tecnologia note. L'azione di oggi pertanto ha un impatto più ampio, che non va a vantaggio solo degli utenti Microsoft. Nello specifico, la Digital Crimes Unit di Microsoft ha bloccato:
- Hotmailbox.me, un sito web di vendita di account Microsoft Outlook fraudolenti.
- 1stCAPTCHA, AnyCAPTCHA e NoneCAPTCHA, siti web che agevolano strumenti, infrastruttura e vendita del servizio di valutazione CAPTCHA per superare la conferma di utilizzo e configurazione dell'account da parte di una persona reale. Questi siti hanno venduto strumenti per superare la verifica dell'identità per altre piattaforme di tecnologia.
- Siti di social media attivamente usati per commercializzare questi servizi.
Immagini dei siti web illeciti di Storm-1152.
Microsoft è impegnata a offrire un'esperienza digitale sicura per ogni persona e organizzazione sul pianeta. Lavoriamo a stretto contatto con Arkose Labs per distribuire una soluzione di difesa CAPTCHA all'avanguardia. La soluzione richiede a ogni potenziale utente che desidera aprire un account Microsoft di dimostrare di essere un essere umano (non un bot) e di verificare l'accuratezza di tale rappresentazione risolvendo diversi tipi di sfide.
Come fondatore e CEO di Arkose Labs, Kevin Gosschalk afferma: "Storm-1152 è un formidabile antagonista nato con l'unico scopo di guadagnare mettendo in condizione gli avversari di compiere attacchi complessi. Il gruppo si distingue per il fatto di aver creato la propria azienda CaaS alla luce del giorno e non sul dark web. Storm-1152 ha operato come un'azienda Internet normale, offrendo formazione per i suoi strumenti e offrendo persino un'assistenza clienti completa. In realtà, Storm-1152 era un gateway aperto a frodi serie".
L'attività di Storm-1152 non solo viola le condizioni d'uso di Microsoft vendendo account fraudolenti, ma cerca volutamente anche di danneggiare i clienti di Arkos Labs e di ingannare le vittime fingendosi utenti legittimi nel tentativo di aggirare le misure di sicurezza.
Screenshot della chiusura dei domini avviata da Microsoft a causa del fatto che questo sito web provava a vendere account Microsoft ottenuti in modo fraudolento
La nostra analisi dell'attività di Storm-1152 ha incluso rilevamento, analisi, telemetria, acquisti di test segreti e reverse engineering per localizzare l'infrastruttura dannosa ospitata negli Stati Uniti. Microsoft Threat Intelligence e l'unità Arkose Cyber Threat Intelligence Research (ACTIR) ha fornito ulteriori dati e informazioni dettagliate a supporto del nostro caso legale.
Nell'ambito della nostra indagine, siamo stati in grado di confermare l'identità di attori alla guida delle operazioni di Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (noto anche come Nguyễn Van Linh) e Tai Van Nguyen, situati in Vietnam. I nostri dati dimostrano che questi individui hanno utilizzato e scritto il codice dei siti web illeciti, pubblicato istruzioni dettagliate su come usare i loro prodotti tramite videotutorial e fornito servizi di chat per assistere gli utenti dei servizi fraudolenti.
Microsoft ha quindi sporto una denuncia penale alle forze dell'ordine degli Stati Uniti. Siamo grati per la nostra partnership con le forze dell'ordine che possono affidare alla giustizia coloro che cercano di danneggiare i nostri clienti.
Il canale YouTube di Duong Dinh Tu con "video pratici" su come aggirare le misure di sicurezza.
L'azione di oggi è il proseguimento della strategia di Microsoft di prendere di mira l'ecosistema criminale informatico più ampio e di colpire gli strumenti che i criminali informatici usano per lanciare i propri attacchi. Si basa sull'espansione di un metodo legale usato con successo per bloccare le operazioni malware e degli stati-nazione. Abbiamo anche collaborato con altre organizzazioni del settore per aumentare la condivisione dell'intelligence sulle frodi e migliorare ulteriormente i nostri algoritmi di machine learning e intelligenza artificiale che rilevano rapidamente e contrassegnano gli account fraudolenti.
Come detto in precedenza, nessun blocco avviene in un giorno. Dare la caccia al crimine informatico richiede perseveranza e una continua vigilanza per bloccare la nuova infrastruttura dannosa. Anche se l'azione legale di oggi avrà un impatto sulle operazioni di Storm-1152, ci aspettiamo che altri attori di minaccia adatteranno di conseguenza le proprie tecniche. Una continua collaborazione tra pubblico e privato, come quella di oggi tra Arkos Labs e le forze dell'ordine statunitensi, rimane essenziale se desideriamo scalfire l'impatto del crimine informatico.
Segui Microsoft