Bij Microsoft zijn we voortdurend op zoek naar creatieve manieren om mensen online te beschermen en daar hoort ook bij dat we geen tolerantie hebben voor mensen die frauduleuze kopieën van onze producten maken en daarmee anderen schade toebrengen. Frauduleuze online accounts dienen als toegang tot veel soorten cybercriminaliteit, waaronder bulk phishing, identiteitsdiefstal en -fraude, en DDoS-aanvallen (Distributed Denial of Service). Dat is waarom we nu, met waardevolle informatie van Arkose Labs, een toonaangevende leverancier van cyberbeveiliging en botbeheer, de grootste verkoper en maker van frauduleuze Microsoft-accounts aanpakken, een groep die we Storm-1152 noemen. We brengen een duidelijke boodschap over aan degenen die frauduleuze Microsoft-producten willen maken, verkopen of distribueren voor cybercriminaliteit: we houden ze in de gaten en zullen actie ondernemen om onze klanten te beschermen. Storm-1152 beheert illegale websites en social media pagina's en verkoopt frauduleuze Microsoft-accounts en tools om software voor identiteitsverificatie op bekende technologieplatforms te omzeilen. Deze services zorgen ervoor dat criminelen minder tijd en moeite nodig hebben voor online criminele en misbruikende activiteiten. Tot nu toe heeft Storm-1152 ongeveer 750 miljoen frauduleuze Microsoft-accounts gecreëerd, waarmee de groep miljoenen dollars aan illegale inkomsten heeft verdiend en het heeft Microsoft en andere bedrijven zelfs nog meer heeft gekost om hun criminele activiteiten te bestrijden. Met deze actie willen we crimineel gedrag ontmoedigen. Door te proberen de snelheid waarmee cybercriminelen hun aanvallen lanceren te vertragen, willen we de kosten van hun activiteiten verhogen en tegelijkertijd ons onderzoek voortzetten en onze klanten en andere online gebruikers beschermen.
Krijg inzichten rechtstreeks van de experts in de Microsoft Bedreigingsinformatie-podcast. Luister nu.
De gateway-services voor cybercriminaliteit verstoren
Storm-1152 speelt een belangrijke rol in het zeer gespecialiseerde cybercrime-as-a-service ecosysteem. Cybercriminelen hebben frauduleuze accounts nodig voor hun grotendeels geautomatiseerde criminele activiteiten. Als bedrijven snel frauduleuze accounts kunnen identificeren en afsluiten, hebben criminelen meer accounts nodig om de beperkende maatregelen te omzeilen. In plaats van tijd te besteden aan het maken van duizenden frauduleuze accounts, kunnen cybercriminelen ze gewoon kopen van Storm-1152 en andere groepen. Hierdoor kunnen criminelen zich richten op het uiteindelijke doel: phishing, spamming, ransomware en andere vormen van fraude en misbruik. Storm-1152 en soortgelijke groepen stellen cybercriminelen in staat om hun schadelijke activiteiten efficiënter en effectiever uit te voeren.
Microsoft Bedreigingsinformatie heeft meerdere groepen geïdentificeerd die actief zijn in ransomware, gegevensdiefstal en afpersing en die Storm-1152-accounts hebben gebruikt. Octo Tempest, ook bekend als Scattered Spider, verkreeg bijvoorbeeld frauduleuze Microsoft-accounts van Storm-1152. Octo Tempest is een financieel gemotiveerde cybercriminele groep die gebruik maakt van grootschalige social engineering-campagnes om wereldwijd organisaties te compromitteren met het doel ze financieel af te persen. Microsoft blijft diverse andere ransomware- of afpersingsbedreigingsactoren opsporen die frauduleuze accounts van Storm-1152 hebben gekocht om hun aanvallen te versterken, waaronder Storm-0252 en Storm-0455.
Op donderdag 7 december verkreeg Microsoft een gerechtelijk bevel van het Zuidelijke District van New York om infrastructuur in de VS in beslag te nemen en websites offline te halen die door Storm-1152 werden gebruikt om Microsoft-klanten schade toe te brengen. Hoewel onze zaak zich richt op frauduleuze Microsoft-accounts, verkochten de getroffen websites ook diensten om beveiligingsmaatregelen op andere bekende technologieplatformen te omzeilen. Deze actie heeft daarom een bredere impact, waarvan ook gebruikers van buiten Microsoft profiteren. De Digital Crimes Unit van Microsoft verstoorde:
- Hotmailbox.me, een website die frauduleuze Microsoft Outlook-accounts verkoopt.
- 1stCAPTCHA, AnyCAPTCHA, en NoneCAPTCHA, websites die de tooling, infrastructuur en verkoop van de CAPTCHA-service faciliteren om de bevestiging van gebruik en accountinstelling door een echt persoon te omzeilen. Deze websites verkochten tools voor het omzeilen van identiteitsverificatie voor andere technologieplatforms.
- De sociale mediasites die actief worden gebruikt om deze diensten op de markt te brengen.
Afbeeldingen van onrechtmatige websites van Storm-1152.
Microsoft zet zich in voor een veilige digitale ervaring voor elke persoon en organisatie op de planeet. We werken nauw samen met Arkose Labs om een volgende generatie oplossingen voor CAPTCHA-bescherming te implementeren. De oplossing vereist dat elke potentiële gebruiker die een Microsoft-account wil openen, aangeeft dat hij een mens is (geen bot) en dit verifieert door verschillende soorten uitdagingen op te lossen.
Zoals oprichter en CEO van Arkose Labs, Kevin Gosschalk zegt: "Storm-1152 is een geduchte vijand die is opgericht met als enige doel geld te verdienen door aanvallers in staat te stellen complexe aanvallen uit te voeren. De groep onderscheidt zich door het feit dat het zijn CaaS-bedrijf in het openbaar heeft opgebouwd in plaats van op het dark web. Storm-1152 opereerde als een typisch internetbedrijf, dat trainingen gaf voor zijn tools en zelfs volledige klantenondersteuning bood. In werkelijkheid was Storm-1152 een open poort naar ernstige fraude."
De activiteiten van Storm-1152 schenden niet alleen de servicevoorwaarden van Microsoft door frauduleuze accounts te verkopen, maar ze proberen ook opzettelijk klanten van Arkose Labs schade toe te brengen en slachtoffers te misleiden door zich voor te doen als legitieme gebruikers in een poging om beveiligingsmaatregelen te omzeilen.
Schermopname van de inbeslagname van een domein door Microsoft, omdat deze website frauduleus verkregen Microsoft-accounts probeert te verkopen
Onze analyse van de activiteiten van Storm-1152 bestond uit detectie, analyse, telemetrie, undercover testaankopen en reverse engineering om de kwaadaardige infrastructuur die gehost werd in de Verenigde Staten te lokaliseren. Microsoft Bedreigingsinformatie en Arkose Cyber Threat Intelligence Research Unit (ACTIR) leverden aanvullende gegevens en inzichten om onze rechtszaak te versterken.
Als onderdeel van ons onderzoek konden we de identiteit bevestigen van de acteurs die de operaties van Storm-1152 leidden - Duong Dinh Tu, Linh Van Nguyễn (ook bekend als Nguyễn Van Linh) en Tai Van Nguyen - gevestigd in Vietnam. Onze bevindingen tonen aan dat deze individuen de code voor de illegale websites beheerden en schreven, gedetailleerde stap-voor-stap instructies publiceerden over het gebruik van hun producten via video tutorials en chatdiensten aanboden om mensen te helpen die hun frauduleuze diensten gebruikten.
Microsoft heeft sindsdien een strafrechtelijke aanklacht ingediend bij de Amerikaanse politie. We zijn dankbaar voor onze samenwerking met rechtshandhavers die degenen die onze klanten schade willen toebrengen voor het gerecht kunnen brengen.
Het YouTube-kanaal van Duong Dinh Tu met instructievideo's om beveiligingsmaatregelen te omzeilen.
De actie van vandaag is een voortzetting van de strategie van Microsoft om zich te richten op het bredere cybercriminele ecosysteem en op de hulpprogramma's die cybercriminelen gebruiken om hun aanvallen uit te voeren. Het is een uitbreiding van een legale methode die met succes wordt gebruikt om malware en operaties van nation-states te verstoren. We werken ook samen met andere organisaties in de sector om meer informatie over fraude te delen en onze algoritmen voor kunstmatige intelligentie en machine learning, die frauduleuze accounts snel opsporen en markeren, verder te verbeteren.
Zoals we eerder opmerkten, is geen enkele verstoring in één dag voltooid. De strijd tegen cybercriminaliteit vereist volharding en constante waakzaamheid om nieuwe kwaadaardige infrastructuur te verstoren. Hoewel de rechtszaak van vandaag gevolgen zal hebben voor de activiteiten van Storm-1152, verwachten we dat andere bedreigingsactoren hun technieken als gevolg hiervan zullen aanpassen. Voortdurende samenwerking tussen de publieke en particuliere sector, zoals vandaag met Arkose Labs en de Amerikaanse wetshandhavers, blijft essentieel als we de gevolgen van cybercriminaliteit aanzienlijk willen beperken.
Microsoft volgen