Dienste unterbunden, die Einfallstore für Cyberverbrechen darstellten
Storm-1152 spielt eine zentrale Rolle im hochspezialisierten CaaS-Bereich (Cybercrime-as-a-Service). Cyberkriminelle benötigen betrügerische Konten für ihre weitgehend automatisierten kriminellen Aktivitäten. Wenn Unternehmen in der Lage sind, betrügerische Konten schnell zu identifizieren und zu sperren, brauchen kriminelle Akteure eine größere Anzahl von Konten, um die Bemühungen zur Schadensbegrenzung zu unterlaufen. Anstatt viel Zeit für die Erstellung Tausender betrügerischer Konten aufzuwenden, können Cyberkriminelle diese einfach von Storm-1152 und ähnlichen Gruppen kaufen. Auf diese Weise können sie ihre Bemühungen auf das eigentliche Ziel ihrer Aktionen im Bereich Phishing, Spam, Ransomware und anderen Arten von Betrug und Missbrauch konzentrieren. Storm-1152 und ähnliche Gruppen ermöglichen es unzähligen Cyberkriminellen, ihre schädlichen Aktivitäten effizienter und effektiver durchzuführen.
Microsoft Threat Intelligence hat mehrere Gruppen identifiziert, die mit Ransomware, Datendiebstahl und Erpressung in Zusammenhang stehen und die Storm-1152-Konten genutzt haben. Octo Tempest, auch bekannt als Scattered Spider, hat sich beispielsweise von Storm-1152 betrügerische Microsoft-Konten beschafft. Octo Tempest ist eine finanziell motivierte Gruppe von Cyberkriminellen, die mit groß angelegten Social-Engineering-Kampagnen Organisationen auf der ganzen Welt kompromittieren, um sie finanziell zu erpressen. Microsoft beobachtet laufend auch viele andere Akteure in den Bereichen Ransomware und Erpressung, die betrügerische Konten von Storm-1152 zur Erweiterung ihrer Angriffe gekauft haben, wie etwa Storm-0252 und Storm-0455.
Am Donnerstag, den 7. Dezember, hat Microsoft eine gerichtliche Verfügung des Southern District of New York erwirkt, um die Infrastruktur in den USA zu beschlagnahmen und die Websites offline zu nehmen, die von Storm-1152 genutzt wurden, um Microsoft-Kunden zu schädigen. Unser Fall betrifft zwar in erster Linie betrügerische Microsoft-Konten, aber die fraglichen Websites verkauften auch Dienste zur Umgehung von Sicherheitsmaßnahmen auf anderen bekannten Technologieplattformen. Das heutige gerichtliche Vorgehen hat daher weitreichendere Auswirkungen, die über die Microsoft-Nutzer hinausgehen. Folgendes wurde durch die Digital Crime Unit von Microsoft gestoppt:
- Hotmailbox.me , eine Website, über die betrügerische Microsoft Outlook-Konten verkauft wurden
- 1stCAPTCHA, AnyCAPTCHA, and NoneCAPTCHA: Über diese Websites wurden Bereitstellung, Infrastruktur und Verkauf eines CAPTCHA-Lösungsdienstes begünstigt, um die Bestätigung der Nutzung und der Einrichtung eines Kontos durch eine echte Person zu umgehen. Auf diesen Sites wurden Tools zur Umgehung der Identitätsüberprüfung für andere Technologieplattformen verkauft.
- Die zur Vermarktung dieser Dienste aktiv genutzten Social Media-Seiten
Es ist ein erklärtes Ziel von Microsoft, allen Menschen und Organisationen auf der Welt eine sichere digitale Nutzung zu ermöglichen. Wir arbeiten eng mit Arkose Labs zusammen, um eine CAPTCHA-Schutzlösung der nächsten Generation zu bieten. Bei dieser Lösung muss jeder potenzielle Nutzer, der ein Microsoft-Konto eröffnen möchte, durch das Lösen verschiedener Arten von Aufgaben beweisen, dass er tatsächlich ein Mensch (und kein Bot) ist.
Kevin Gosschalk, Gründer und CEO von Arkose Labs, sagt: „Storm-1152 ist ein ernstzunehmender Gegner, dessen einziges Ziel es ist, Geld zu verdienen, indem er schlecht gesinnte Personen und Organisationen zu komplexen Angriffen befähigt. Die Gruppe zeichnet sich dadurch aus, dass sie ihr CaaS-Geschäft im Tageslicht und nicht im Dark Web aufgebaut hat. Storm-1152 agierte wie ein typisches Internetunternehmen, das Schulungen für seine Tools anbot und sogar vollen Kundensupport leistete. In Wirklichkeit war Storm-1152 ein weit geöffnetes Tor für schwere Betrügereien.“
Die Aktivitäten von Storm-1152 verstoßen nicht nur gegen die Vertragsbedingungen von Microsoft, indem betrügerische Konten verkauft werden, sondern zielen auch bewusst darauf ab, Kunden von Arkose Labs zu schädigen und Opfer zu täuschen, indem vorgegaukelt wird, legitime Benutzer zu sein, um Sicherheitsmaßnahmen zu umgehen.
Unsere Untersuchung der Aktivitäten von Storm-1152 umfasste Ermittlung, Analyse, Telemetriedaten, verdeckte Testkäufe sowie Reverse Engineering, um die in den USA gehostete schädliche Infrastruktur ausfindig zu machen. Microsoft Threat Intelligence und die Arkose Cyber Threat Intelligence Research -Einheit (ACTIR) lieferten zusätzliche Daten und Erkenntnisse zur Fundierung unseres Rechtsfalls.
Im Rahmen unserer Recherchen konnten wir die Identität der Akteure hinter den Tätigkeiten von Storm-1152 ermitteln: Duong Dinh Tu, Linh Van Nguyễn (auch bekannt als Nguyễn Van Linh) und Tai Van Nguyen – alle mit Wohnsitz in Vietnam. Unsere Ergebnisse zeigten, dass diese Personen den Code für die illegalen Websites geschrieben und betrieben haben, detaillierte schrittweise Anleitungen zur Nutzung ihrer Produkte in Form von Videotutorials veröffentlicht haben und Chat-Dienste zur Unterstützung der Nutzer ihrer betrügerischen Dienste angeboten haben.
In der Zwischenzeit hat Microsoft eine Strafanzeige bei den Strafverfolgungsbehörden in den USA eingereicht. Wir sind dankbar für die Zusammenarbeit mit den Strafverfolgungsbehörden, die diejenigen, die unseren Kunden schaden wollen, vor Gericht bringen können.
Das heutige gerichtliche Vorgehen ist ein weiterer Schritt im Rahmen der Strategie von Microsoft, das Cybercrime-Ökosystem im weitesten Sinne ins Visier zu nehmen und sich auf die Werkzeuge zu konzentrieren, die von Cyberkriminellen für ihre Angriffe verwendet werden. Sie baut auf unserer Ausweitung einer legalen Methode auf, die erfolgreich eingesetzt wird, um Malware-Angriffe und böswillige Aktivitäten auf nationaler Ebene zu stoppen. Wir sind auch Partnerschaften mit anderen Organisationen in der Branche eingegangen, um den Austausch von Informationen über Betrugsfälle zu verstärken und unsere KI- und Machine Learning-Algorithmen weiter zu verbessern, die betrügerische Konten schnell erkennen und melden.
Wie bereits erwähnt, ist es nicht möglich, Cyberkriminalität an einem einzigen Tag zu stoppen. Ihre Bekämpfung erfordert Ausdauer und ständige Wachsamkeit, um neue bösartige Infrastrukturen zu blockieren. Das heutige gerichtliche Vorgehen wird sich auf die Aktivitäten von Storm-1152 auswirken, aber wir gehen davon aus, dass auch andere böswillige Akteure ihre Techniken in der Folge anpassen werden. Eine kontinuierliche Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor, wie heute mit Arkose Labs und den US-Strafverfolgungsbehörden, bleibt unerlässlich, wenn wir die Auswirkungen der Cyberkriminalität wirksam eindämmen wollen.
Microsoft Security folgen