Microsoft anunció el miércoles 13 que dejó de operar Storm-1152, un ecosistema de cibercrimen como servicio (CaaS) que creó 750 millones de cuentas empresariales fraudulentas para difundir phishing, robo de identidad y otros esquemas criminales.
Se cree que CaaS ha obtenido millones de dólares en ingresos mediante la creación de cuentas fraudulentas para que otros grupos de delitos cibernéticos las utilicen en phishing, spam, ransomware, ataques de denegación de servicio distribuido (DDoS) y otros tipos de ataques.
“Storm-1152 administra sitios web y páginas de redes sociales ilícitos, vendiendo cuentas de Microsoft fraudulentas y herramientas para eludir el software de verificación de identidad en plataformas tecnológicas populares. Estos servicios reducen el tiempo y el esfuerzo necesarios para que los delincuentes lleven a cabo una variedad de comportamientos delictivos y abusivos en línea”, señala Microsoft.
Uno de los clientes de Storm-1152 es Octo Tempest, también conocido como Scattered Spider, 0ktapus y UNC3944, que utilizó cuentas fraudulentas en ataques de ingeniería social destinados a la extorsión financiera. Storm-0252, Storm-0455 y otros grupos de ransomware o extorsión también compraron cuentas CaaS.
Con la ayuda de la empresa de seguridad de cuentas y gestión de bots Arkose Labs, que ha estado rastreando Storm-1152 desde agosto de 2021, Microsoft recopiló información sobre CaaS y sus actividades e infraestructura, y la utilizó para obtener una orden judicial y apoderarse de la infraestructura del red de cibercrimen en EE.UU.
Emitida el pasado jueves día 7, la orden judicial permitió a Microsoft hacerse cargo de dominios como Hotmailbox.eu, 1stCAPTCHA, AnyCAPTCHA y NoneCAPTCHA, así como de cuentas de redes sociales que CaaS había utilizado para promocionar servicios ilícitos. Además, el fabricante de software reveló las identidades de tres personas que se cree que están operando Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (también conocido como Nguyễn Van Linh) y Tai Van Nguyen, todos con base en Vietnam.
“Nuestros hallazgos muestran que estas personas operaron y escribieron el código de los sitios web ilícitos, publicaron instrucciones detalladas paso a paso sobre cómo utilizar sus productos a través de tutoriales en vídeo y proporcionaron servicios de chat para ayudar a quienes utilizan sus servicios fraudulentos”. , explica Microsoft.
Las actividades de Storm-1152 llamaron la atención de Arkose Labs, que comenzó a investigar al grupo e informó de los hallazgos a Microsoft. Juntas, las dos empresas comenzaron a recopilar tácticas, técnicas y procedimientos (TTP) asociados con el actor de amenazas para identificar su infraestructura.
Según Arkose Labs, se ha observado que Storm-1152 cambia su modelo de negocio para eludir las medidas de protección implementadas en su contra, incluido el cambio entre servicios de resolución de cAPTCHA.
“Microsoft ha presentado una demanda contra las personas en nombre de sus millones de clientes que pueden haber sido atacados y perjudicados por los ataques. Arkose Labs apoya a Microsoft con nuestra evidencia detallada de los ataques”, señala Arkose Labs. Las dos empresas también informaron de sus hallazgos a las autoridades policiales.
Fuentes: CisoAdvisor, Arkose Labs
