La Microsoft, căutăm mereu modalități creative de a proteja online utilizatorii, ceea ce înseamnă că nu-i tolerăm pe cei care creează copii frauduloase ale produselor noastre pentru a le face rău altora. Conturile online frauduloase acționează ca o poartă de acces către o serie de infracțiuni cibernetice, inclusiv phishing în masă, furt și fraudă de identitate și atacuri distribuite de refuzare a serviciilor (DDoS). De aceea, astăzi, cu ajutorul unor detalii valoroase privind investigarea amenințărilor de la Arkose Labs, un furnizor de top în domeniul apărării securității cibernetice și furnizor de gestionare a roboților, ne vom ocupa de principalul vânzător și creator de conturi Microsoft frauduloase, grupare pe care o numim Storm-1152. Transmitem un mesaj puternic celor care încearcă să creeze, să vândă sau să distribuie produse Microsoft frauduloase pentru infracțiuni cibernetice: îi urmărim, îi detectăm și vom acționa pentru a ne proteja clienții. Storm-1152 administrează site-uri web și pagini de socializare ilicite, vânzând conturi Microsoft frauduloase și instrumente pentru a ocoli software-ul de verificare a identității de pe platforme tehnologice bine cunoscute. Aceste servicii reduc timpul și efortul de care au nevoie infractorii pentru a desfășura o multitudine de comportamente infracționale și abuzive online. Până acum, Storm-1152 a creat aproximativ 750 de milioane de conturi Microsoft frauduloase în vederea vânzării, ceea ce i-a adus grupului milioane de dolari în venituri ilicite și a costat Microsoft și alte companii și mai mult pentru a-i combate activitatea infracțională. Acțiunea de astăzi are ca scop descurajarea comportamentului infracțional. Prin faptul de a încerca să încetinim viteza cu care infractorii cibernetici își lansează atacurile, ne propunem să le creștem costul de operare, în timp ce ne continuăm investigația și ne protejăm clienții și ceilalți utilizatori online.
Aflați detalii direct de la experți din podcastul Investigarea amenințărilor Microsoft. Ascultați acum.
Perturbarea serviciilor care reprezintă o poartă de acces pentru infracțiunile cibernetice
Storm-1152 deține un rol important în ecosistemul extrem de specializat al serviciilor de infracțiuni cibernetice. Infractorii cibernetici necesită conturi frauduloase pentru a-și susține activitățile infracționale, care sunt în mare parte automatizate. Având în vedere că întreprinderile sunt capabile să identifice și să închidă rapid conturile frauduloase, infractorii necesită un număr mai mare de conturi pentru a eluda eforturile de reducere a riscurilor. În loc să-și petreacă timpul încercând să creeze mii de conturi frauduloase, infractorii cibernetici le pot achiziționa pur și simplu de la Storm-1152 și de la alte grupări. Acest lucru le permite infractorilor să-și concentreze eforturile asupra obiectivelor principale de phishing, spamming, ransomware și alte tipuri de fraudă și abuz. Storm-1152 și alte grupări similare le permit infractorilor cibernetici să-și desfășoare activitățile rău intenționate mai eficient și efectiv.
Investigarea amenințărilor Microsoft a identificat mai multe grupări implicate în ransomware, furt de date și extorcare care au utilizat conturi de la Storm-1152. De exemplu, Octo Tempest, cunoscut și sub numele de Scattered Spider, a obținut conturi Microsoft frauduloase de la Storm-1152. Octo Tempest este o grupare de infractori cibernetici cu motivații financiare, care utilizează campanii ample de inginerie socială pentru a compromite organizații din întreaga lume în scopul extorcării financiare. Microsoft continuă să monitorizeze și alți factori implicați în amenințări ransomware sau de extorcare care au procurat conturi frauduloase de la Storm-1152 pentru a-și îmbunătăți atacurile, inclusiv Storm-0252 și Storm-0455.
Joi, 7 decembrie, Microsoft a obținut un ordin judecătoresc de la Districtul Sudic din New York pentru a confisca infrastructura din SUA și pentru a scoate din funcțiune site-urile web utilizate de Storm-1152 în scopul prejudicierii clienților Microsoft. Chiar dacă acest caz se concentrează asupra conturilor Microsoft frauduloase, site-urile web implicate au vândut, la rândul lor, servicii de eludare a măsurilor de securitate de pe alte platforme tehnologice bine cunoscute. Prin urmare, acțiunea de astăzi are un impact mai amplu, de care beneficiază și alți utilizatori, pe lângă cei ai Microsoft. Mai exact, Unitatea de combatere a infracțiunilor digitale de la Microsoft a perturbat:
- Hotmailbox.me, un site care vinde conturi frauduloase de Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA și NoneCAPTCHA, site-uri web care facilitează instrumentele, infrastructura și vânzarea serviciului de rezolvare CAPTCHA pentru a eluda confirmarea utilizării și configurarea contului de către o persoană reală. Aceste site-uri vindeau instrumente de eludare a verificării identității pentru alte platforme tehnologice.
- Site-urile de socializare utilizate în mod activ pentru a comercializa aceste servicii.
Imagini cu site-urile ilicite ale Storm-1152.
Microsoft se angajează să ofere o experiență digitală sigură pentru fiecare persoană și organizație de pe planetă. Lucrăm îndeaproape cu Arkose Labs pentru a implementa o soluție de apărare CAPTCHA de ultimă generație. Soluția presupune ca fiecare potențial utilizator care dorește să deschidă un cont Microsoft să declare că este o ființă umană (nu un robot) și să verifice acuratețea acestei declarații prin rezolvarea anumitor tipuri de provocări.
După cum spune Kevin Gosschalk, fondator și CEO al Arkose Labs: „Storm-1152 este un inamic formidabil înființat cu unicul scop de a face bani prin abilitarea adversarilor pentru a comite atacuri complexe. Gruparea se distinge prin faptul că și-a construit afacerea CaaS ziua-n amiaza mare și nu pe dark web. Storm-1152 funcționa ca o entitate obișnuită pe internet, oferind instruire pentru instrumentele sale și chiar asigurând asistență completă pentru clienți. De fapt, Storm-1152 era o poartă deschisă către fraude grave.”
Activitatea grupării Storm-1152 nu doar încalcă termenii serviciilor Microsoft prin vânzarea de conturi frauduloase, ci urmărește în mod intenționat să prejudicieze clienții Arkose Labs și să înșele victimele pretinzând că ar fi utilizatori legitimi în încercarea de a eluda măsurile de securitate.
Captură de ecran cu confiscarea unui domeniu inițiată de Microsoft din cauza faptului că acest site încearcă să vândă conturi Microsoft obținute în mod fraudulos
Analiza noastră a activității grupării Storm-1152 a presupus detectarea, analiza, telemetria, achiziții de teste sub acoperire și inginerie inversă pentru a identifica infrastructura rău intenționată găzduită în Statele Unite. Investigarea amenințărilor Microsoft și Unitatea de investigare a amenințărilor cibernetice de la Arkose (ACTIR) au furnizat date și informații suplimentare pentru a ne consolida demersul juridic.
Ca parte a investigației noastre, am reușit să confirmăm identitatea celor care dirijează operațiunile grupării Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (cunoscut și sub numele de Nguyễn Van Linh) și Tai Van Nguyen – având sediul în Vietnam. Am descoperit că aceste persoane au exploatat și scris codul pentru site-urile web ilicite, au publicat instrucțiuni detaliate, pas cu pas, privind modul de utilizare a produselor lor prin intermediul unor tutoriale video și au oferit servicii de chat pentru a-i ajuta pe cei care utilizau serviciile lor frauduloase.
Între timp, Microsoft a înaintat o sesizare penală autorităților judiciare din Statele Unite. Suntem recunoscători pentru parteneriatul nostru cu forțele de ordine, care-i pot aduce în fața justiției pe cei care caută să ne prejudicieze clienții.
Canalul de YouTube al lui Duong Dinh Tu cu „videoclipuri cu instrucțiuni” pentru a eluda măsurile de securitate.
Acțiunea de astăzi este o continuare a strategiei Microsoft de a viza ecosistemul extins al infracțiunilor cibernetice și de a viza instrumentele pe care infractorii cibernetici le utilizează pentru a-și lansa atacurile. Aceasta se bazează pe extinderea unei metode legale utilizate cu succes pentru a perturba operațiunile malware și ale statelor naționale. De asemenea, am încheiat parteneriate cu alte organizații din întreaga industrie pentru a spori schimbul de informații privind fraudele și pentru a ne îmbunătăți în continuare algoritmii de inteligență artificială și de învățare programată care detectează și semnalizează rapid conturile frauduloase.
După cum am mai spus, nicio perturbare nu se poate finaliza într-o singură zi. Combaterea infracțiunilor cibernetice necesită persistență și o vigilență continuă pentru a perturba noile infrastructuri rău intenționate. Cu toate că acțiunea legală de astăzi va avea un impact asupra operațiunilor grupării Storm-1152, ne așteptăm ca și alți actori din domeniul amenințărilor să-și adapteze tehnicile ca urmare a acestui fapt. Continuarea colaborării dintre sectorul public și cel privat, precum cea de astăzi cu Arkose Labs și cu autoritățile judiciare din SUA, rămâne esențială dacă dorim să reducem în mod semnificativ impactul infracțiunilor cibernetice.
Urmăriți Microsoft