Hos Microsoft fortsætter vi med at lede efter kreative måder at beskytte folk online på, og det inkluderer, at vi ikke har nogen tolerance over for dem, der laver falske kopier af vores produkter for at skade andre. Svindelagtige onlinekonti fungerer som indgang til en lang række former for cyberkriminalitet, herunder massephishing, identitetstyveri og svindel samt DDoS-angreb (distributed denial of service). Det er grunden til, at vi i dag, med værdifuld indsigt i oplysninger om trusler fra Arkose Labs, en førende leverandør af forsvar til cybersikker og botstyring, går efter den største sælger og skaber af falske Microsoft-konti, en gruppe, vi kalder Storm-1152. Vi sender et stærkt budskab til dem, der forsøger at skabe, sælge eller distribuere falske Microsoft-produkter til cyberkriminalitet: Vi holder øje med, lægger mærke til det og vil handle for at beskytte vores kunder. Storm-1152 driver ulovlige websteder og sider på sociale medier, hvor der sælges falske Microsoft-konti og værktøjer til at omgå software til identitetsbekræftelse på tværs af velkendte teknologiplatforme. Disse tjenester reducerer den tid og de kræfter, det kræver for kriminelle at udføre en lang række kriminelle og krænkende handlinger online. Til dags dato har Storm-1152 oprettet ca. 750 millioner falske Microsoft-konti til salg, hvilket har indbragt gruppen millioner af dollars i ulovlige indtægter og kostet Microsoft og andre virksomheder endnu mere at bekæmpe deres kriminelle aktiviteter. Med handlingen i dag er vores mål at afskrække kriminel adfærd. Ved at forsøge at sænke den hastighed, hvormed cyberkriminelle lancerer deres angreb, sigter vi mod at øge deres omkostninger ved at drive forretning, mens vi fortsætter vores efterforskning og beskytter vores kunder og andre onlinebrugere.
Tilmeld dig nu for at se on demand-webseminaret med indsigt fra Microsoft-rapporten over digitalt forsvar for 2024.
Afbrydelse af gateway-tjenester til cyberkriminalitet
Storm-1152 spiller en vigtig rolle i det højt specialiserede cybercrime-as-a-service-økosystem. Cyberkriminelle har brug for falske konti til at understøtte deres kriminelle aktiviteter, som i vid udstrækning er automatiserede. Når virksomheder hurtigt kan identificere og lukke svigagtige konti, har kriminelle brug for et større antal konti for at omgå deres afhjælpende indsats. I stedet for at bruge tid på at oprette tusindvis af falske konti, kan cyberkriminelle blot købe dem fra Storm-1152 og andre grupper. Det giver de kriminelle mulighed for at fokusere deres indsats på deres ultimative mål: phishing, spamming, ransomware og andre former for svindel og misbrug. Storm-1152 og grupper som dem gør det muligt for masser af cyberkriminelle at udføre deres ondsindede aktiviteter mere effektivt.
Microsoft Threat Intelligence har identificeret flere grupper, der beskæftiger sig med ransomware, datatyveri og afpresning, og som har brugt Storm-1152-konti. For eksempel fik Octo Tempest, også kendt som Scattered Spider, falske Microsoft-konti fra Storm-1152. Octo Tempest er en økonomisk motiveret gruppe der står bag cyberkriminalitet, der udnytter brede social engineering-kampagner til at kompromittere organisationer over hele kloden med det formål at afpresse dem økonomisk. Microsoft fortsætter med at spore flere andre ransomware- eller trusselsaktører der står bag afpresning, der har købt falske konti fra Storm-1152 for at forbedre deres angreb, herunder Storm-0252 og Storm-0455.
Torsdag den 7. december fik Microsoft en retskendelse fra Southern District of New York til at beslaglægge USA-baseret infrastruktur og lukke websteder, som Storm-1152 har brugt til at skade Microsoft-kunder. Selvom vores sag fokuserer på falske Microsoft-konti, solgte de berørte websteder også tjenester til at omgå sikkerhedsforanstaltninger på andre velkendte teknologiplatforme. Handlingen i dag har derfor en bredere indvirkning, som kommer brugere ud over Microsoft til gode. Specifikt har Microsofts enhed for digital kriminalitet stoppet:
- Hotmailbox.me, et websted, der sælger falske Microsoft Outlook-konti.
- 1stCAPTCHA, AnyCAPTCHA, og NoneCAPTCHA, websteder, der faciliterer værktøj, infrastruktur og salg af CAPTCHA-løsningstjenesten for at omgå bekræftelsen af brug og kontoopsætning af en rigtig person. Disse sider solgte værktøjer til omgåelse af identitetsbekræftelse til andre teknologiplatforme.
- De sociale medier bruges aktivt til at markedsføre disse tjenester.
Billeder af Storm-1152's ulovlige websteder.
Microsoft er forpligtet til at levere en sikker digital oplevelse for alle personer og organisationer på planeten. Vi arbejder tæt sammen med Arkose Labs om at udrulle den næste generation af CAPTCHA-forsvarsløsninger. Løsningen kræver, at alle potentielle brugere, der ønsker at åbne en Microsoft-konto, skal repræsentere, at de er et menneske (ikke en bot), og verificere nøjagtigheden af denne repræsentation ved at løse forskellige typer udfordringer.
Som grundlægger og CEO for Arkose Labs, Kevin Gosschalk, siger: "Storm-1152 er en formidabel fjende, der er etableret med det eneste formål at tjene penge ved at give modstandere mulighed for at udføre komplekse angreb. Gruppen udmærker sig ved, at den har opbygget sin CaaS-forretning i offentligheden i stedet for på det mørke net. Storm-1152 fungerede som en typisk internetvirksomhed, der tilbød træning i sine værktøjer og endda fuld kundesupport. I virkeligheden var Storm-1152 en ulåst gateway til alvorlig svindel."
Storm-1152's aktivitet overtræder ikke kun Microsofts servicevilkår ved at sælge falske konti, men forsøger også bevidst at skade Arkose Labs kunder og narre ofre, der udgiver sig for at være legitime brugere i et forsøg på at omgå sikkerhedsforanstaltninger.
Screenshot af domænebeslaglæggelse iværksat af Microsoft, fordi dette websted forsøger at sælge Microsoft-konti, der er erhvervet på bedragerisk vis
Vores analyse af Storm-1152's aktivitet omfattede registrering, analyse, telemetri, undercover testkøb og reverse engineering for at lokalisere den ondsindede infrastruktur, der var hostet i USA. Microsoft Threat Intelligence og ACTIR-enheden ( Arkose Cyber Threat Intelligence Research ) leverede yderligere data og indsigt for at styrke vores juridiske sag.
Som en del af vores efterforskning var vi i stand til at bekræfte identiteten på de aktører, der leder Storm-1152's operationer - Duong Dinh Tu, Linh Van Nguyễn (også kendt som Nguyễn Van Linh) og Tai Van Nguyen – med base i Vietnam. Vores resultater viser, at disse personer drev og skrev koden til de ulovlige websteder, offentliggjorde detaljerede trinvise instruktioner om, hvordan man bruger deres produkter via videovejledninger og leverede chattjenester for at hjælpe dem, der brugte deres bedrageriske tjenester.
Microsoft har siden henvist sagen til det amerikanske politi. Vi er taknemmelige for vores partnerskab med politiet, som kan retsforfølge dem, der ønsker at skade vores kunder.
Duong Dinh Tu's YouTube-kanal med "sådan gør du"-videoer til at omgå sikkerhedsforanstaltninger.
Handlingen i dag er en fortsættelse af Microsofts strategi om at tage sigte på det bredere cyberkriminelle økosystem og målrette de værktøjer, som cyberkriminelle bruger til at lancere deres angreb. Det bygger på vores udvidelse af en lovlig metode, der med succes bruges til at forstyrre malware og nation-stat-operationer. Vi har også indgået partnerskaber med andre organisationer på tværs af branchen for at øge udvekslingen af oplysninger om svindel og yderligere forbedre vores algoritmer for kunstig intelligens og maskinel indlæring, der hurtigt finder og markerer svigagtige konti.
Som vi har sagt før, er ingen afbrydelse færdig på én dag. At gå efter cyberkriminalitet kræver vedholdenhed og vedvarende årvågenhed for at forstyrre ny ondsindet infrastruktur. Mens dagens retslige skridt vil påvirke Storm-1152's aktiviteter, forventer vi, at andre trusselsaktører vil tilpasse deres teknikker som følge heraf. Fortsat samarbejde mellem den offentlige og private sektor, som i dag med Arkose Labs og det amerikanske politi, er fortsat afgørende, hvis vi ønsker at mindske virkningen af cyberkriminalitet på en meningsfuld måde.
Følg Microsoft Security