V Microsoftu še naprej iščemo ustvarjalne načine za zaščito ljudi v spletu, kar vključuje tudi netoleriranje tistih, ki ustvarjajo goljufive kopije naših izdelkov, da bi škodovali drugim. Goljufivi spletni računi so vstopna točka za številne vrste kibernetskega kriminala, vključno z množičnim lažnim predstavljanjem, krajo identitete in goljufijami ter distribuiranimi napadi z zavrnitvijo storitve (DDoS). Zato danes s pomočjo dragocenih informacij o grožnjah podjetja Arkose Labs, vodilnega ponudnika obrambe pred kibernetsko varnostjo in upravljanja botov, preganjamo glavnega prodajalca in ustvarjalca goljufivih Microsoftovih računov, skupino, ki jo imenujemo Storm-1152. Tistim, ki želijo ustvariti, prodati ali distribuirati goljufive Microsoftove izdelke za kibernetski kriminal, pošiljamo jasno sporočilo: opazujemo, upoštevamo in ukrepali bomo, da zaščitimo svoje stranke. Storm-1152 upravlja nezakonita spletna mesta in strani v družabnih omrežjih ter prodaja lažne Microsoftove račune in orodja za izogibanje programski opremi za preverjanje identitete na znanih tehnoloških platformah. Te storitve zmanjšujejo čas in napor, ki ga kriminalci potrebujejo za izvajanje številnih kaznivih dejanj in zlorab na spletu. Storm-1152 je do zdaj ustvaril za prodajo približno 750 milijonov goljufivih Microsoftovih računov, kar je skupini prineslo več milijonov dolarjev nezakonitih prihodkov, Microsoftu in drugim podjetjem pa še več stroškov v boju proti njihovi kriminalni dejavnosti. Z današnjimi ukrepi želimo preprečiti kazniva dejanja. Z upočasnitvijo hitrosti, s katero kibernetski kriminalci izvajajo svoje napade, želimo povečati stroške njihovega poslovanja in hkrati nadaljevati preiskavo ter zaščititi svoje stranke in druge spletne uporabnike.
Pridobite vpoglede neposredno od strokovnjakov v poddaji skupnosti Obveščanje o grožnjah Microsoft. Prisluhnite zdaj.
Prekinitve storitev, ki so vstopna točka za kibernetski kriminal
Storm-1152 ima pomembno vlogo v visoko specializiranem ekosistemu kibernetskega kriminala kot storitve. Kibernetski kriminalci potrebujejo goljufive račune za svoje večinoma avtomatizirane kriminalne dejavnosti. Ker lahko podjetja hitro prepoznajo in zaprejo goljufive račune, kriminalci potrebujejo večjo količino računov, da bi se izognili prizadevanjem za ublažitev. Namesto da bi porabili čas za ustvarjanje na tisoče goljufivih računov, jih lahko kibernetski kriminalci preprosto kupijo od skupine Storm-1152 in drugih skupin. To kriminalcem omogoča, da se osredotočijo na svoje končne cilje – lažno predstavljanje, pošiljanje neželene pošte, izsiljevalsko programsko opremo ter druge vrste goljufij in zlorab. Storm-1152 in podobne skupine omogočajo številnim kibernetskim kriminalcem učinkovitejše in uspešnejše izvajanje zlonamernih dejavnosti.
Skupnost Obveščanje o grožnjah Microsoft je identificirala več skupin, ki se ukvarjajo z izsiljevalsko programsko opremo, krajo podatkov in izsiljevanjem ter uporabljajo račune Storm-1152. Octo Tempest, znan tudi kot Scattered Spider, je na primer od Storma-1152 pridobil goljufive Microsoftove račune. Octo Tempest je finančno motivirana kibernetska kriminalna skupina, ki z obsežnimi kampanjami socialnega inženiringa ogroža organizacije po vsem svetu z namenom finančnega izsiljevanja. Microsoft še naprej spremlja več drugih akterjev, povezanih z grožnjami z izsiljevalsko programsko opremo, ki so od skupine Storm-1152 kupili goljufive račune, da bi okrepili svoje napade, vključno s skupinama Storm-0252 in Storm-0455.
Microsoft je v četrtek, 7. decembra, od južnega okrožja New Yorka pridobil sodni nalog za zaseg infrastrukture s sedežem v ZDA in izključitev spletnih mest, ki jih je Storm-1152 uporabljal za škodovanje Microsoftovim strankam. Čeprav se naša zadeva osredotoča na goljufive Microsoftove račune, so prizadeta spletna mesta prodajala tudi storitve za izogibanje varnostnim ukrepom na drugih znanih tehnoloških platformah. Današnji ukrep ima torej širši vpliv, saj koristi tudi uporabnikom zunaj Microsofta. Natančneje, Microsoftova enota za digitalni kriminal je prekinila te dejavnosti:
- Hotmailbox.me – spletno mesto, ki prodaja goljufive račune Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA in NoneCAPTCHA – spletna mesta, ki zagotavljajo orodja, infrastrukturo in prodajo storitve za reševanje CAPTCHA, da se izognejo potrditvi uporabe in nastavitve računa s strani prave osebe. Ta spletna mesta so prodajala orodja za izogibanje preverjanju identitete za druge tehnološke platforme.
- Spletna mesta družbenih omrežij , ki se aktivno uporabljajo za trženje teh storitev.
Slike nezakonitih spletnih mest skupine Storm-1152.
Microsoft je zavezan k zagotavljanju varne digitalne izkušnje za vse osebe in organizacije na svetu. Tesno sodelujemo z družbo Arkose Labs pri uvajanju obrambne rešitve CAPTCHA naslednje generacije. Rešitev od vsakega potencialnega uporabnika, ki želi odpreti Microsoftov račun, zahteva, da izjavi, da je človek (in ne bot), in preveri točnost te izjave z reševanjem različnih vrst izzivov.
Kevin Gosschalk, ustanovitelj in izvršni direktor podjetja Arkose Labs, pravi: »Storm-1152 je strahovit nasprotnik, ki je bil ustanovljen z edinim namenom, da zasluži denar tako, da omogoči nasprotnikom, da izvajajo zapletene napade. Skupino odlikuje dejstvo, da je svoj posel CaaS zgradila na dnevni svetlobi in ne na temnem spletu. Storm-1152 je deloval kot tipično internetno podjetje, ki je zagotavljalo usposabljanje za svoja orodja in celo nudilo popolno podporo strankam. V resnici je Storm-1152 odklepal vrata za hude goljufije.«
Storm-1152 s prodajo goljufivih računov ne le krši Microsoftove pogoje uporabe storitev, temveč tudi namerno škoduje strankam podjetja Arkose Labs in zavaja žrtve, ki se pretvarjajo, da so legitimni uporabniki, ter tako poskuša zaobiti varnostne ukrepe.
Zaslonska slika zasega domene, ki ga je sprožil Microsoft, ker to spletno mesto poskuša prodati goljufivo pridobljene Microsoftove račune
Naša analiza dejavnosti skupine Storma-1152 je vključevala odkrivanje, analizo, telemetrijo, tajne testne nakupe in povratni inženiring, da bi določili zlonamerno infrastrukturo, ki je gostovala v Združenih državah. Skupnost Obveščanje o grožnjah Microsoft in enota Arkose Cyber Threat Intelligence Research (ACTIR) sta zagotovili dodatne podatke in vpoglede, da bi pravno utemeljili primer.
V okviru preiskave smo lahko potrdili identiteto akterjev, ki so vodili operacije skupine Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (znan tudi kot Nguyễn Van Linh) in Tai Van Nguyen – s sedežem v Vietnamu. Naše ugotovitve kažejo, da so ti posamezniki upravljali in pisali kodo za nezakonita spletna mesta, objavljali podrobna navodila po korakih za uporabo njihovih izdelkov v obliki video učnih gradiv ter zagotavljali storitve klepeta za pomoč tistim, ki so uporabljali njihove goljufive spletne strani.
Microsoft je ameriškim organom pregona predložil kazensko ovadbo. Hvaležni smo za partnerstvo z organi kazenskega pregona, ki lahko pripeljejo pred sodišče tiste, ki želijo škodovati našim strankam.
Duong Dinh Tu-jev YouTube kanal z videoposnetki z navodili, kako zaobiti varnostne ukrepe.
Trenutni ukrep je nadaljevanje Microsoftove strategije, s katero se je usmeril v širši ekosistem kibernetskih kriminalcev in v orodja, ki jih ti uporabljajo za izvajanje svojih napadov. Temelji na naši širitvi pravne metode, ki se uspešno uporablja za onemogočanje zlonamerne programske opreme in operacij na ravni države. Sodelovali smo tudi z drugimi organizacijami v panogi, da bi povečali izmenjavo informacij o goljufijah in še izboljšali naše algoritme umetne inteligence ter strojnega učenja, ki hitro odkrivajo in označujejo goljufive račune.
Kot smo že povedali, nobena prekinitev se ne konča v enem dnevu. Preganjanje kibernetskega kriminala zahteva vztrajnost in stalno budnost, da se onemogoči nova zlonamerna infrastruktura. Trenutni pravni ukrep bo vplival na delovanje skupine Storm-1152, pričakujemo pa, da bodo drugi akterji grožnje zaradi tega prilagodili svoje tehnike. Nadaljnje sodelovanje med javnim in zasebnim sektorjem, kot je današnje z družbo Arkose Labs in ameriškimi organi pregona, je še naprej ključnega pomena, če želimo pomembno zmanjšati vpliv kibernetskega kriminala.
Spremljajte Microsoft