A Microsoft anunciou nesta quarta-feira, 13, que parou de operar o Storm-1152, um ecossistema de crime cibernético como serviço (CaaS) que criou 750 milhões de contas corporativas fraudulentas para espalhar phishing, roubo de identidade e outros esquemas criminosos.
Acredita-se que o CaaS tenha gerado milhões de dólares em receitas ao criar contas fraudulentas para outros grupos de crimes cibernéticos usarem em ataques de phishing, spam, ransomware, ataques distribuídos de negação de serviço (DDoS) e outros tipos de ataques.
“Storm-1152 administra sites ilícitos e páginas de mídia social, vendendo contas fraudulentas da Microsoft e ferramentas para contornar software de verificação de identidade em plataformas tecnológicas populares. Esses serviços reduzem o tempo e o esforço necessários para que os criminosos realizem uma série de comportamentos criminosos e abusivos online”, observa a Microsoft.
Um dos clientes do Storm-1152 é o Octo Tempest, também conhecido como Scattered Spider, 0ktapus e UNC3944, que utilizou contas fraudulentas em ataques de engenharia social visando extorsão financeira. Storm-0252, Storm-0455 e outros grupos de ransomware ou extorsão também adquiriram contas CaaS.
Com a ajuda da empresa de gerenciamento de bots e segurança de contas Arkose Labs, que rastreia Storm-1152 desde agosto de 2021, a Microsoft reuniu informações sobre o CaaS e suas atividades e infraestrutura, e as usou para obter uma ordem judicial e confiscar a infraestrutura do rede de crimes cibernéticos nos EUA.
Emitida na última quinta-feira, 7, a ordem judicial permitiu à Microsoft assumir domínios como Hotmailbox.eu, 1stCAPTCHA, AnyCAPTCHA e NoneCAPTCHA, além de contas de redes sociais que o CaaS tem utilizado para promover serviços ilícitos. Além disso, o fabricante do software revelou as identidades de três indivíduos que supostamente operam o Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen, todos baseados no Vietnã.
“Nossas descobertas mostram que esses indivíduos operaram e escreveram o código para sites ilícitos, publicaram instruções detalhadas passo a passo sobre como usar seus produtos por meio de tutoriais em vídeo e forneceram serviços de chat para ajudar aqueles que usavam seus serviços fraudulentos.” , explica a Microsoft.
As atividades do Storm-1152 chamaram a atenção do Arkose Labs, que começou a investigar o grupo e relatou as descobertas à Microsoft. Juntas, as duas empresas começaram a coletar táticas, técnicas e procedimentos (TTPs) associados ao ator da ameaça para identificar sua infraestrutura.
De acordo com Arkose Labs, foi observado que Storm-1152 mudou seu modelo de negócios para contornar as medidas de proteção implementadas contra ele, incluindo a alternância entre serviços de resolução cAPTCHA.
“A Microsoft entrou com uma ação contra os indivíduos em nome de seus milhões de clientes que podem ter sido alvo e prejudicados pelos ataques. Arkose Labs está apoiando a Microsoft com nossas evidências detalhadas dos ataques”, observa Arkose Labs. As duas empresas também relataram suas descobertas às autoridades responsáveis pela aplicação da lei.
Fontes: CisoAdvisor, Arkose Labs