A Microsoft anunciou na quarta-feira, 13, que interrompeu as operações do Storm-1152, um ecossistema de cibercrime como serviço (CaaS) que criou 750 milhões de contas fraudulentas da empresa para disseminar phishing, roubar identidades e outros esquemas criminosos.
Acredita-se que o CaaS tenha gerado milhões de dólares em receita por meio da criação de contas fraudulentas para outros grupos de cibercrime usarem em phishing, spam, ransomware, ataques distribuídos de negação de serviço (DDoS) e outros tipos de ataques.
"O Storm-1152 administra sites ilícitos e páginas de mídia social, vendendo contas e ferramentas fraudulentas da Microsoft para burlar o software de verificação de identidade em plataformas de tecnologia renomadas.
Esses serviços diminuem o tempo e o esforço necessários para os criminosos realizarem uma série de comportamentos criminosos e abusivos online", observa a Microsoft.
Um dos clientes do Storm-1152 é o Octo Tempest, também conhecido como Scattered Spider (Arana dispersa, em tradução livre), 0ktapus e UNC3944, que usou as contas fraudulentas em ataques de engenharia social destinados à extorsão financeira.
O Storm-0252, Storm-0455 e outros grupos de ransomware ou extorsão também compraram contas do CaaS.
Com o auxílio da empresa de gerenciamento de bots e segurança de contas Arkose Labs, que monitora o Storm-1152 desde agosto de 2021, a Microsoft coletou informações sobre o CaaS e suas atividades e infraestrutura, e as usou para obter uma ordem judicial e confiscar a infraestrutura da rede de crimes cibernéticos nos EUA.
Emitida na quinta-feira passada, 7, a ordem judicial permitiu que a Microsoft tomasse posse de domínios como o Hotmailbox.eu, 1stCAPTCHA, AnyCAPTCHA e NoneCAPTCHA, bem como contas de mídia social que o CaaS usava para promover os serviços ilícitos.
Além disso, a fabricante revelou a identidade de três indivíduos acreditados estar operando o Storm-1152 — Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen, todos do Vietnã.
"Nossas descobertas mostram que esses indivíduos operavam e escreviam códigos para os sites ilícitos, publicavam instruções detalhadas sobre como usar seus produtos por meio de tutoriais em vídeo e forneciam serviços de chat para auxiliar aqueles que usavam seus serviços fraudulentos", explica a Microsoft.
As atividades do Storm-1152 chamaram a atenção da Arkose Labs, que começou a investigar o grupo e relatou as descobertas à Microsoft.
Juntas, as duas empresas começaram a coletar táticas, técnicas e procedimentos (TTPs) associados ao agente de ameaça, para identificar sua infraestrutura.
Segundo a Arkose Labs, o Storm-1152 foi observado alterando seu modelo de negócios para contornar as medidas de proteção implementadas contra ele, incluindo a alternância entre os serviços de solucionador CAPTCHA.
"A Microsoft entrou com um processo contra os indivíduos em nome dos seus milhões de clientes que possivelmente foram alvos e prejudicados pelos ataques.
A Arkose Labs está apoiando a Microsoft com nossas evidências detalhadas dos ataques", observa a Arkose Labs.
As duas empresas também relataram suas descobertas às autoridades policiais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...