Pridobite vpoglede neposredno od strokovnjakov v poddaji skupnosti Obveščanje o grožnjah Microsoft. Prisluhnite zdaj.
Prekinitve storitev, ki so vstopna točka za kibernetski kriminal
Storm-1152 ima pomembno vlogo v visoko specializiranem ekosistemu kibernetskega kriminala kot storitve. Kibernetski kriminalci potrebujejo goljufive račune za svoje večinoma avtomatizirane kriminalne dejavnosti. Ker lahko podjetja hitro prepoznajo in zaprejo goljufive račune, kriminalci potrebujejo večjo količino računov, da bi se izognili prizadevanjem za ublažitev. Namesto da bi porabili čas za ustvarjanje na tisoče goljufivih računov, jih lahko kibernetski kriminalci preprosto kupijo od skupine Storm-1152 in drugih skupin. To kriminalcem omogoča, da se osredotočijo na svoje končne cilje – lažno predstavljanje, pošiljanje neželene pošte, izsiljevalsko programsko opremo ter druge vrste goljufij in zlorab. Storm-1152 in podobne skupine omogočajo številnim kibernetskim kriminalcem učinkovitejše in uspešnejše izvajanje zlonamernih dejavnosti.
Skupnost Obveščanje o grožnjah Microsoft je identificirala več skupin, ki se ukvarjajo z izsiljevalsko programsko opremo, krajo podatkov in izsiljevanjem ter uporabljajo račune Storm-1152. Octo Tempest, znan tudi kot Scattered Spider, je na primer od Storma-1152 pridobil goljufive Microsoftove račune. Octo Tempest je finančno motivirana kibernetska kriminalna skupina, ki z obsežnimi kampanjami socialnega inženiringa ogroža organizacije po vsem svetu z namenom finančnega izsiljevanja. Microsoft še naprej spremlja več drugih akterjev, povezanih z grožnjami z izsiljevalsko programsko opremo, ki so od skupine Storm-1152 kupili goljufive račune, da bi okrepili svoje napade, vključno s skupinama Storm-0252 in Storm-0455.
Microsoft je v četrtek, 7. decembra, od južnega okrožja New Yorka pridobil sodni nalog za zaseg infrastrukture s sedežem v ZDA in izključitev spletnih mest, ki jih je Storm-1152 uporabljal za škodovanje Microsoftovim strankam. Čeprav se naša zadeva osredotoča na goljufive Microsoftove račune, so prizadeta spletna mesta prodajala tudi storitve za izogibanje varnostnim ukrepom na drugih znanih tehnoloških platformah. Današnji ukrep ima torej širši vpliv, saj koristi tudi uporabnikom zunaj Microsofta. Natančneje, Microsoftova enota za digitalni kriminal je prekinila te dejavnosti:
- Hotmailbox.me – spletno mesto, ki prodaja goljufive račune Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA in NoneCAPTCHA – spletna mesta, ki zagotavljajo orodja, infrastrukturo in prodajo storitve za reševanje CAPTCHA, da se izognejo potrditvi uporabe in nastavitve računa s strani prave osebe. Ta spletna mesta so prodajala orodja za izogibanje preverjanju identitete za druge tehnološke platforme.
- Spletna mesta družbenih omrežij , ki se aktivno uporabljajo za trženje teh storitev.
Microsoft je zavezan k zagotavljanju varne digitalne izkušnje za vse osebe in organizacije na svetu. Tesno sodelujemo z družbo Arkose Labs pri uvajanju obrambne rešitve CAPTCHA naslednje generacije. Rešitev od vsakega potencialnega uporabnika, ki želi odpreti Microsoftov račun, zahteva, da izjavi, da je človek (in ne bot), in preveri točnost te izjave z reševanjem različnih vrst izzivov.
Kevin Gosschalk, ustanovitelj in izvršni direktor podjetja Arkose Labs, pravi: »Storm-1152 je strahovit nasprotnik, ki je bil ustanovljen z edinim namenom, da zasluži denar tako, da omogoči nasprotnikom, da izvajajo zapletene napade. Skupino odlikuje dejstvo, da je svoj posel CaaS zgradila na dnevni svetlobi in ne na temnem spletu. Storm-1152 je deloval kot tipično internetno podjetje, ki je zagotavljalo usposabljanje za svoja orodja in celo nudilo popolno podporo strankam. V resnici je Storm-1152 odklepal vrata za hude goljufije.«
Storm-1152 s prodajo goljufivih računov ne le krši Microsoftove pogoje uporabe storitev, temveč tudi namerno škoduje strankam podjetja Arkose Labs in zavaja žrtve, ki se pretvarjajo, da so legitimni uporabniki, ter tako poskuša zaobiti varnostne ukrepe.
Naša analiza dejavnosti skupine Storma-1152 je vključevala odkrivanje, analizo, telemetrijo, tajne testne nakupe in povratni inženiring, da bi določili zlonamerno infrastrukturo, ki je gostovala v Združenih državah. Skupnost Obveščanje o grožnjah Microsoft in enota Arkose Cyber Threat Intelligence Research (ACTIR) sta zagotovili dodatne podatke in vpoglede, da bi pravno utemeljili primer.
V okviru preiskave smo lahko potrdili identiteto akterjev, ki so vodili operacije skupine Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (znan tudi kot Nguyễn Van Linh) in Tai Van Nguyen – s sedežem v Vietnamu. Naše ugotovitve kažejo, da so ti posamezniki upravljali in pisali kodo za nezakonita spletna mesta, objavljali podrobna navodila po korakih za uporabo njihovih izdelkov v obliki video učnih gradiv ter zagotavljali storitve klepeta za pomoč tistim, ki so uporabljali njihove goljufive spletne strani.
Microsoft je ameriškim organom pregona predložil kazensko ovadbo. Hvaležni smo za partnerstvo z organi kazenskega pregona, ki lahko pripeljejo pred sodišče tiste, ki želijo škodovati našim strankam.
Trenutni ukrep je nadaljevanje Microsoftove strategije, s katero se je usmeril v širši ekosistem kibernetskih kriminalcev in v orodja, ki jih ti uporabljajo za izvajanje svojih napadov. Temelji na naši širitvi pravne metode, ki se uspešno uporablja za onemogočanje zlonamerne programske opreme in operacij na ravni države. Sodelovali smo tudi z drugimi organizacijami v panogi, da bi povečali izmenjavo informacij o goljufijah in še izboljšali naše algoritme umetne inteligence ter strojnega učenja, ki hitro odkrivajo in označujejo goljufive račune.
Kot smo že povedali, nobena prekinitev se ne konča v enem dnevu. Preganjanje kibernetskega kriminala zahteva vztrajnost in stalno budnost, da se onemogoči nova zlonamerna infrastruktura. Trenutni pravni ukrep bo vplival na delovanje skupine Storm-1152, pričakujemo pa, da bodo drugi akterji grožnje zaradi tega prilagodili svoje tehnike. Nadaljnje sodelovanje med javnim in zasebnim sektorjem, kot je današnje z družbo Arkose Labs in ameriškimi organi pregona, je še naprej ključnega pomena, če želimo pomembno zmanjšati vpliv kibernetskega kriminala.
Spremljajte Microsoft