Microsoft bloqueia operação que criou 750 milhões de contas falsas
15 de Dezembro de 2023

A Microsoft anunciou na quarta-feira, 13, que interrompeu as operações do Storm-1152, um ecossistema de cibercrime como serviço (CaaS) que criou 750 milhões de contas fraudulentas da empresa para disseminar phishing, roubar identidades e outros esquemas criminosos.

Acredita-se que o CaaS tenha gerado milhões de dólares em receita por meio da criação de contas fraudulentas para outros grupos de cibercrime usarem em phishing, spam, ransomware, ataques distribuídos de negação de serviço (DDoS) e outros tipos de ataques.

"O Storm-1152 administra sites ilícitos e páginas de mídia social, vendendo contas e ferramentas fraudulentas da Microsoft para burlar o software de verificação de identidade em plataformas de tecnologia renomadas.

Esses serviços diminuem o tempo e o esforço necessários para os criminosos realizarem uma série de comportamentos criminosos e abusivos online", observa a Microsoft.

Um dos clientes do Storm-1152 é o Octo Tempest, também conhecido como Scattered Spider (Arana dispersa, em tradução livre), 0ktapus e UNC3944, que usou as contas fraudulentas em ataques de engenharia social destinados à extorsão financeira.

O Storm-0252, Storm-0455 e outros grupos de ransomware ou extorsão também compraram contas do CaaS.

Com o auxílio da empresa de gerenciamento de bots e segurança de contas Arkose Labs, que monitora o Storm-1152 desde agosto de 2021, a Microsoft coletou informações sobre o CaaS e suas atividades e infraestrutura, e as usou para obter uma ordem judicial e confiscar a infraestrutura da rede de crimes cibernéticos nos EUA.

Emitida na quinta-feira passada, 7, a ordem judicial permitiu que a Microsoft tomasse posse de domínios como o Hotmailbox.eu, 1stCAPTCHA, AnyCAPTCHA e NoneCAPTCHA, bem como contas de mídia social que o CaaS usava para promover os serviços ilícitos.

Além disso, a fabricante revelou a identidade de três indivíduos acreditados estar operando o Storm-1152 — Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen, todos do Vietnã.

"Nossas descobertas mostram que esses indivíduos operavam e escreviam códigos para os sites ilícitos, publicavam instruções detalhadas sobre como usar seus produtos por meio de tutoriais em vídeo e forneciam serviços de chat para auxiliar aqueles que usavam seus serviços fraudulentos", explica a Microsoft.

As atividades do Storm-1152 chamaram a atenção da Arkose Labs, que começou a investigar o grupo e relatou as descobertas à Microsoft.

Juntas, as duas empresas começaram a coletar táticas, técnicas e procedimentos (TTPs) associados ao agente de ameaça, para identificar sua infraestrutura.

Segundo a Arkose Labs, o Storm-1152 foi observado alterando seu modelo de negócios para contornar as medidas de proteção implementadas contra ele, incluindo a alternância entre os serviços de solucionador CAPTCHA.

"A Microsoft entrou com um processo contra os indivíduos em nome dos seus milhões de clientes que possivelmente foram alvos e prejudicados pelos ataques.

A Arkose Labs está apoiando a Microsoft com nossas evidências detalhadas dos ataques", observa a Arkose Labs.

As duas empresas também relataram suas descobertas às autoridades policiais.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...