Interromper os serviços de porta de entrada ao cibercrime

O Storm-1152 desempenha um papel significativo no ecossistema altamente especializado do cibercrime como serviço. Os cibercriminosos precisam de contas fraudulentas para apoiar as suas atividades criminosas, em grande parte automatizadas. Com as empresas capazes de identificar e encerrar rapidamente as contas fraudulentas, os criminosos necessitam de uma maior quantidade de contas para contornar os esforços de mitigação. Em vez de perderem tempo a tentar criar milhares de contas fraudulentas, os cibercriminosos podem simplesmente comprá-las ao Storm-1152 e a outros grupos. Isto permite que os criminosos concentrem os seus esforços nos seus objetivos principais como o phishing, spamming, ransomware e outros tipos de fraude e abuso. O Storm-1152 e outros grupos similares permitem que dezenas de cibercriminosos levem a cabo as suas atividades maliciosas de forma mais eficiente e eficaz.

As Informações sobre Ameaças da Microsoft identificaram vários grupos envolvidos em ransomware, roubo de dados e extorsão que utilizaram contas do Storm-1152. Por exemplo, o Octo Tempest, também conhecido como Scattered Spider, obteve contas Microsoft fraudulentas através do Storm-1152. O Octo Tempest é um grupo de cibercrime com motivações financeiras que utiliza amplas campanhas de engenharia social para comprometer organizações em todo o mundo com o objetivo de extorsão financeira. A Microsoft continua a monitorizar vários outros atores de ameaças de ransomware ou extorsão que adquiriram contas fraudulentas do Storm-1152 para melhorar os seus ataques, incluindo o Storm-0252 e o Storm-0455.

Na quinta-feira, 7 de dezembro, a Microsoft obteve uma ordem judicial do Distrito Sul de Nova Iorque para confiscar a infraestrutura sediada nos EUA e retirar do ar os sites utilizados pelo Storm-1152 para prejudicar os clientes da Microsoft. Embora o nosso caso se centre em contas Microsoft fraudulentas, os sites afetados também vendiam serviços para contornar as medidas de segurança noutras plataformas tecnológicas bem conhecidas. Por conseguinte, a medida de hoje tem um impacto mais vasto, beneficiando outros utilizadores para além da Microsoft. Mais especificamente, a Unidade de Crimes Digitais da Microsoft conseguiu interromper:

A Microsoft está empenhada a proporcionar uma experiência digital segura a todas as pessoas e organizações do planeta. Trabalhamos em estreita colaboração com a Arkose Labs para implementar uma solução de defesa CAPTCHA de última geração. A solução exige que todos os potenciais utilizadores que pretendam abrir uma conta Microsoft declarem que são um ser humano (e não um bot) e verifiquem a exatidão dessa representação através da resolução de vários tipos de desafios...

Como afirma o fundador e CEO da Arkose Labs, Kevin Gosschalk: "O Storm-1152 é um inimigo formidável criado com o único objetivo de ganhar dinheiro ao possibilitar que os adversários cometam ataques complexos. O grupo distingue-se pelo facto de ter construído o seu negócio de CaaS à luz do dia e não na dark web. A Storm-1152 operava como uma empresa típica da Internet, através do fornecimento de formação para as suas ferramentas e até através do fornecimento de apoio total ao cliente. Na realidade, o Storm-1152 era uma porta de entrada aberta para uma fraude grave."

A atividade do Storm-1152 não só viola os termos do serviço da Microsoft ao vender contas fraudulentas, como também procura propositadamente prejudicar os clientes da Arkose Labs e enganar as vítimas que se fazem passar por utilizadores legítimos, numa tentativa de contornar as medidas de segurança.

A nossa análise da atividade do Storm-1152 incluiu deteção, análise, telemetria, aquisições de testes infiltradas e engenharia inversa para identificar a infraestrutura maliciosa alojada nos Estados Unidos. As Informações sobre Ameaças da Microsoft e a unidade Arkose Cyber Threat Intelligence Research (ACTIR) forneceram dados e informações adicionais para reforçar o nosso caso jurídico.

Como parte da nossa investigação, conseguimos confirmar a identidade dos atores que lideram as operações do Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen, baseados no Vietname. As nossas conclusões mostram que estes indivíduos operavam e escreviam o código para os sites ilícitos, publicavam instruções detalhadas passo a passo sobre como utilizar os seus produtos através de tutoriais em vídeo e forneciam serviços de chat para ajudar as pessoas que utilizavam os seus serviços fraudulentos.

Desde então, a Microsoft apresentou uma queixa criminal às autoridades policiais dos EUA. Estamos gratos pela nossa parceria com as autoridades policiais, que podem levar à justiça aqueles que procuram prejudicar os nossos clientes.
 

A medida de hoje representa uma continuação da estratégia da Microsoft de visar o ecossistema cibercriminoso em geral e as ferramentas que os cibercriminosos utilizam para lançar os seus ataques. Assenta na nossa expansão de um método legal utilizado com êxito para interromper operações de malware e de estados-nação. Também estabelecemos parcerias com outras organizações da indústria para aumentar a partilha de informações sobre fraudes e melhorar ainda mais os nossos algoritmos de inteligência artificial e de aprendizagem automática que detetam e sinalizam rapidamente contas fraudulentas.

Como já referimos anteriormente, nenhuma interrupção é completa num só dia. A luta contra o cibercrime exige persistência e vigilância permanente para interromper as novas infra-estruturas maliciosas. Embora a ação judicial de hoje tenha impacto nas operações do Storm-1152, esperamos que outros atores de ameaças adaptem as suas técnicas em resultado disso. A colaboração contínua entre os setores público e privado, como a de hoje com a Arkose Labs e as autoridades policiais dos EUA, continua a ser essencial se quisermos reduzir significativamente o impacto do cibercrime.