Hos Microsoft fortsetter vi å se etter kreative måter å beskytte personer på, på nettet, og dette inkluderer nulltoleranse for de som lager uredelige kopier av produkter for å skade andre. Uredelige kontoer på nettet fungerer som en inngangsport til en vert for cyberkriminalitet, inkludert masse-phishing, identitetstyveri og svindel, og distribuert tjenestenektangrep (DDoS). Derfor går vi i dag, med verdifull trusselinformasjonsinnsikt fra Arkose Labs, en ledende leverandør av cybersikkerhetsbeskyttelse og robotadministrasjon, etter den største selgeren og skaperen av uredelige Microsoft-kontoer, et konsern vi kaller Storm-1152. Vi sender ut et sterkt budskap til de som ønsker å lage, selge eller distribuere uredelige Microsoft-produkter for cyberkriminalitet: vi observerer, legger merke til og handler for å beskytte kundene våre. Storm-1152 driver ulovlige nettsteder og sosiale mediesider, selger uredelige Microsoft-kontoer og verktøy, for å omgå programvare for identitetskontroll på tvers av velkjente teknologiplattformer. Disse tjenestene reduserer tiden og innsatsen som er nødvendig, for at kriminelle skal kunne gjennomføre en rekke kriminell og krenkende atferd på nettet. Frem til i dag har Storm-1152 laget omtrent 750 millioner uredelige Microsoft-kontoer for salg, og konsernet har hatt flere millioner dollar i ulovlig omsetning, noe som har kostet Microsoft og andre selskaper enda mer for å bekjempe den kriminelle aktiviteten. Med dagens handling er målet vårt å hindre kriminell atferd. Ved å prøve å bremse angrepshastigheten til cyberkriminelle har vi som mål å heve forretningskostnadene deres, samtidig som vi fortsetter etterforskningen og beskyttelsen av kunder og andre brukere på nettet.
Få innsikt rett fra ekspertene på Microsoft Threat Intelligence Podcast. Lytt nå.
Forstyrrelse av gatewaytjenester til cyberkriminalitet
Storm-1152 spiller en viktig rolle i det svært spesialiserte cyberkriminalitet som en tjeneste-økosystemet. Cyberkriminelle trenger uredelige kontoer for å få hjelp til de hovedsakelig automatiserte kriminelle aktivitetene. Med selskaper som kan identifisere og stenge ned uredelige kontoer raskt, trenger kriminelle en større mengde kontoer for å omgå at de reduseres. I stedet for å bruke mye tid på å lage tusenvis av uredelige kontoer kan cyberkriminelle enkelt kjøpe dem fra Storm-1152 og andre konsern. Dette gjør at de kriminelle kan fokusere på de optimale målene for phishing, spamming, løsepengevirus og andre typer svindel og misbruk. Storm-1152 og konsern som dem, gjør det mulig for en mengde cyberkriminelle å gjennomføre ondsinnede aktiviteter mer effektivt.
Microsoft trusselinformasjon har identifisert flere grupper som er engasjert i løsepengevirus, datatyveri og utpressing, som har brukt Storm-1152-kontoer. For eksempel Octo Tempest, også kjent som Scattered Spider, skaffet seg uredelige Microsoft-kontoer fra Storm-1152. Octo Tempest er et økonomisk motivert konsern som utnytter et bredt utvalg kampanjer for sosial manipulering, for å kompromittere organisasjoner i hele verden med økonomisk utpressing som mål. Microsoft fortsetter å overvåke flere andre trusselaktører for løsepengevirus eller utpressing som har kjøpt uredelige kontoer fra Storm-1152, for å forbedre angrepene, inkludert Storm-0252 og Storm-0455.
Torsdag 7. desember skaffet Microsoft en rettskjennelse fra Southern District of New York for å beslaglegge infrastruktur med base i USA og ta frakoblede nettsteder som Storm-1152 har brukt for å skade Microsoft-kunder. Selv om saken fokuserer på uredelige Microsoft-kontoer, solgte også de berørte nettstedene tjenester for å omgå sikkerhetstiltak på andre velkjente teknologiplattformer. Dagens handling har derfor en større innvirkning, til nytte for brukere utover Microsoft. Forstyrrelse i Microsofts avdeling for nettkriminalitet:
- Hotmailbox.me, et nettsted som selger uredelige Microsoft Outlook-kontoer.
- 1stCAPTCHA, AnyCAPTCHA og NoneCAPTCHA, nettsteder som fremmer bruk av verktøy, infrastruktur og salg av CAPTCHA-løsningstjenesten for å omgå bekreftelse av bruk og kontokonfigurasjon av en virkelig person. Disse nettstedene solgte verktøy for å omgå identitetskontroll for andre teknologiplattformer.
- De sosiale medienettstedene som ble aktivt brukt for å markedsføre disse tjenestene.
Bilder av de ulovlige nettstedene til Storm-1152.
Microsoft er forpliktet til å levere en trygg digital opplevelse for alle personer og organisasjoner på planeten. Vi jobber tett med Arkose Labs for å distribuere en neste generasjons CAPTCHA-forsvarsløsning. Løsningen krever at alle potensielle brukere som ønsker å åpne en Microsoft-konto, viser at de er et menneske (ikke en robot) og verifiserer at denne representasjonen er riktig ved å løse ulike typer utfordringer.
Som grunnlegger og administrerende direktør for Arkose Labs, sier Kevin Gosschalk dette: Storm-1152 er en skremmende fiende som utelukkende har som mål å tjene penger ved å styrke motstanderne til å utføre komplekse angrep. Konsernet skiller seg ut med at det har bygd CaaS-virksomheten i dagens lys kontra på det mørke nettet. Storm-1152 fungerer som et typisk internettdrevet konsern, og tilbyr opplæring av verktøyene og til og med fullstendig kundestøtte. I virkeligheten var Storm-1152 en ulåst inngangsport til alvorlig svindel.»
Aktiviteten til Storm 1152 krenker ikke bare Microsofts vilkår for bruk ved å selge uredelige kontoer, men de prøver også å skade kundene til Arkose Labs og lurer kundene med å late som de er legitime brukere, i et forsøk på å omgå sikkerhetstiltak.
Skjermbilde av domenebeslagleggelse innledet av Microsoft fordi nettstedet prøver å selge Microsoft-kontoer anskaffet på ulovlig vis
Analysen av aktiviteten til Storm-1152 inkluderte oppdagelse, analyse, telemetri, hemmelige tekstkjøp og omvendt utvikling for å nøyaktig angi den ondsinnede infrastrukturen som driftes i USA. Microsoft trusselinformasjon og Arkose Cyber Threat Intelligence Research unit (ACTIR) leverte ekstra data og innsikt for å styrke rettssaken.
Som en del av etterforskningen var vi i stand til å bekrefte identiteten til aktørene som var ansvarlige for driften til Storm-1152’ – Duong Dinh Tu, Linh Van Nguyễn (også kjent som Nguyễn Van Linh) og Tai Van Nguyen – med base i Vietnam. Funnene våre viser at disse enkeltpersonene drev og skrev koden for de ulovlige nettstedene, publiserte trinnvise instruksjoner for hvordan produktene skulle brukes via videoopplæringer, og leverte chattjenester for å hjelpe de som brukte de uredelige tjenestene.
Microsoft har siden sendt inn en strafferettslig henvisning til amerikanske rettsmyndigheter. Vi er takknemlige for partnerskapet med rettsmyndighetene som kan stille de som er ute etter å skade kundene, for retten.
YouTube-kanalen til Duong Dinh Tu med «veiledningsvideoer» om å omgå sikkerhetstiltak.
Dagens handling er en fortsettelse på Microsofts strategi om målretting mot et større økosystem av cyberkriminelle og mot verktøyene cyberkriminelle bruker for å starte et angrep. Den bygger på en utvidelse av en juridisk metode som brukes til å forstyrre skadelig programvare og statlige operasjoner. Vi har også gått sammen med andre organisasjoner på tvers av bransjen for å øke delingen av intelligens når det gjelder svindel, og ytterligere forbedre den kunstige intelligensen og maskinlæringsalgoritmene som raskt oppdager og flagger uredelige kontoer.
Som vi har sagt før, er det ingen avbrudd som er komplette på én dag. For å gå etter cyberkriminalitet kreves utholdenhet og pågående årvåkenhet for å forstyrre ny ondsinnet infrastruktur. Selv om dagens søksmål vil påvirke driften til Storm-1152, forventer vi at andre trusselaktører tilpasser teknikkene sine som et resultat av dette. Videre samarbeid mellom offentlig og privat sektor, som dagens, med Arkose Labs og amerikanske rettsmyndigheter, er avgjørende hvis vi vil gjøre inntrykk på cyberkriminalitetens påvirkning.
Følg Microsoft