password - login

Microsoft barra operação que criou 750 milhões de contas falsas

Empresa interrompe operação do Storm-1152, ecossistema de cibercrime como serviço que facilita ataques de phishing, roubo de identidade e DDoS
Da Redação
15/12/2023

A Microsoft anunciou na quarta-feira, 13, que interrompeu a operação do Storm-1152, um ecossistema de cibercrime como serviço (CaaS) que criou 750 milhões de contas fraudulentas da empresa para disseminar phishing, roubar identidade e outros esquemas criminosos.

Acredita-se que o CaaS tenha feito milhões de dólares em receita com a criação de contas fraudulentas para outros grupos de cibercrime usarem em phishing, spam, ransomware, ataques distribuídos de negação de serviço (DDoS) e outros tipos de ataques.

“O Storm-1152 administra sites ilícitos e páginas de mídia social, vendendo contas e ferramentas fraudulentas da Microsoft para contornar o software de verificação de identidade em plataformas de tecnologia conhecidas. Esses serviços reduzem o tempo e o esforço necessários para que os criminosos realizem uma série de comportamentos criminosos e abusivos online”, observa a Microsoft.

Um dos clientes do Storm-1152 é o Octo Tempest, também conhecido como Scattered Spider (aranha dispersa, em tradução livre), 0ktapus e UNC3944, que usou as contas fraudulentas em ataques de engenharia social destinados a extorsão financeira. O Storm-0252, Storm-0455 e outros grupos de ransomware ou extorsão também compraram contas do CaaS.

Com a ajuda da empresa de gerenciamento de bots e segurança de contas Arkose Labs, que rastreia o Storm-1152 desde agosto de 2021, a Microsoft reuniu informações sobre o CaaS e suas atividades e infraestrutura, e as usou para obter uma ordem judicial e apreender a infraestrutura da rede de crimes cibernéticos nos EUA.

Emitida na quinta-feira passada, 7, a ordem judicial permitiu que a Microsoft assumisse domínios como o Hotmailbox.eu, 1stCAPTCHA, AnyCAPTCHA e NoneCAPTCHA, bem como contas de mídia social que o CaaS tem usado para promover os serviços ilícitos. Além disso, a fabricante de software revelou a identidade de três indivíduos que se acredita estarem operando o Storm-1152 — Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen, todos baseados no Vietnã.

“Nossas descobertas mostram que esses indivíduos operaram e escreveram o código para os sites ilícitos, publicaram instruções detalhadas passo a passo sobre como usar seus produtos por meio de tutoriais em vídeo e forneceram serviços de bate-papo para ajudar aqueles que usam seus serviços fraudulentos”, explica a Microsoft.

Veja isso
Octo Tempestum é o grupo do cibercrime financeiro mais hostil
Europol lança relatório sobre sistema que financia o cibercrime

As atividades do Storm-1152 chamaram a atenção da Arkose Labs, que começou a investigar o grupo e relatou as descobertas à Microsoft. Juntas, as duas empresas começaram a coletar táticas, técnicas e procedimentos (TTPs) associados ao agente de ameaça, para identificar sua infraestrutura.

De acordo com a Arkose Labs, o Storm-1152 foi observado mudando seu modelo de negócios para contornar as medidas de proteção implantadas contra ele, incluindo a troca entre os serviços de solucionador cAPTCHA.

“A Microsoft entrou com um processo contra os indivíduos em nome de seus milhões de clientes que podem ter sido alvo e prejudicados pelos ataques. A Arkose Labs está apoiando a Microsoft com nossas evidências detalhadas dos ataques”, observa a Arkose Labs.As duas empresas também relataram suas descobertas às autoridades policiais.

Para acessar a análise da Arkose, em inglês, clique aqui.

Compartilhar:

Últimas Notícias