A Microsoft publicou um relatório "Cyber Signals", compartilhando novas informações sobre o grupo hacker Storm-0539 e um aumento significativo no furto de gift cards à medida que nos aproximamos do feriado do Memorial Day nos Estados Unidos.
O FBI já havia alertado sobre as atividades de Storm-0539 (também conhecido como "Ant Lion") no início deste mês, destacando as técnicas avançadas do grupo de ameaça na condução de furto e fraude de gift cards, afirmando que suas táticas lembram hackers patrocinados por estados e atores sofisticados de cyberespionagem.
A Microsoft alerta que os atores de ameaça intensificam suas atividades antes de um feriado importante, observando um aumento de 60% na atividade de Storm-0539 durante as festas de inverno do ano passado (Natal) e um aumento notável de 30% entre março e maio de 2024.
No recém-divulgado relatório Cyber Signals, a Microsoft corrobora que os atores de ameaça visam organizações que emitem gift cards em vez de usuários finais, além de revelar abuso em larga escala de provedores de serviços cloud para operações de baixo custo.
Storm-0539 é um grupo de ameaça marroquino motivado financeiramente, ativo desde 2021, focando principalmente em fraude de gift cards e cartões de pagamento.
Os atores de ameaça são notórios por seus esforços de reconhecimento e mensagens de phishing por email e SMS customizadas, que visam funcionários das organizações alvo, tipicamente emissores de gift cards.
Uma vez que eles ganham acesso ao ambiente alvo usando contas roubadas, eles registram seus próprios dispositivos nas plataformas de autenticação multi-fator (MFA) da empresa para persistência e, em seguida, movem-se lateralmente comprometendo máquinas virtuais, VPNs, SharePoint, OneDrive, Salesforce e ambientes Citrix.
Eventualmente, o Storm-0539 consegue acessar credenciais que permitem a criação de novos gift cards para serem resgatados em mercados dark web, em lojas, ou sacando usando mulas de dinheiro.
"Tipicamente, organizações definem um limite no valor em dinheiro que pode ser emitido para um gift card individual.Por exemplo, se esse limite for $100,000, o ator de ameaça emitirá um cartão de $99,000, depois enviará para si mesmo o código do gift card e os monetizará," explica o relatório Cyber Signals da Microsoft.
Sua motivação principal é roubar gift cards e lucrar vendendo-os online com um preço reduzido.
Vimos alguns exemplos onde o ator de ameaça roubou até $100,000 por dia em certas empresas.
Para criar nova infraestrutura para seus ataques, os atores de ameaça criam websites se passando por organizações sem fins lucrativos, os quais são usados para se inscrever com provedores de serviços cloud.
Estas contas entram em planos "pay as you go" ou de "teste gratuito", que eles abusam em operações em larga escala com pouco ou nenhum custo.
"A reconhecência do Storm-0539 e a capacidade de alavancar ambientes cloud são semelhantes ao que a Microsoft observa de atores de ameaça patrocinados por estados, mostrando como técnicas popularizadas por adversários focados em espionagem e geopolítica agora estão influenciando criminosos motivados financeiramente," explica a Microsoft.
A Microsoft sugere que operadores de portais de emissão de gift cards monitorem constantemente anomalias e implementem políticas de acesso condicional que impediriam uma conta única, potencialmente comprometida, de gerar um número anormalmente grande de cartões.
Além disso, as organizações são aconselhadas a implementar medidas de proteção contra replay de tokens, impor acesso de mínimo privilégio e usar chaves de segurança FIDO2 para proteger contas de alto risco.
Os comerciantes também podem desempenhar um papel crucial interrompendo a cadeia de lucro para o Storm-0539 e atores de ameaça semelhantes, reconhecendo e rejeitando pedidos que apresentem sinais suspeitos.
Embora esses ataques não impactem os compradores de festas, usuários da internet se preparando para o Memorial Day devem manter uma cautela elevada contra golpes, lojas falsas e malvertising.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...