Trace Id is missing

Ação ousada contra fraudes: desmantelando o Storm-1152

Compartilhar
Um conjunto colorido de círculos com vários ícones.

Visão geral

Em março de 2023, um cliente importante da Microsoft sofreu uma série de ataques cibernéticos de spam que desestabilizaram o sistema dele.

E qual foi a causa? Uma enxurrada de contas do Microsoft Outlook e Hotmail, criadas de forma fraudulenta para explorar os serviços de testes gratuitos oferecidos pelo cliente a potenciais usuários, mesmo que essas contas falsas não tivessem a intenção de pagar por esses serviços. Resultado: o cliente teve que bloquear todos os novos registros provenientes de endereços de email do Microsoft Outlook e Hotmail.

Mas o que estava realmente por trás desse ataque? Uma grande operação fraudulenta com sede no Vietnã — um grupo que a Microsoft chama de Storm-1152.

O Storm-1152 gerenciava sites ilícitos e páginas em redes sociais para vender contas fraudulentas da Microsoft e ferramentas para burlar o software de verificação de identidade em plataformas de tecnologia conhecidas. Os serviços da Storm-1152 eram um verdadeiro portal para o crime cibernético, facilitando a vida dos criminosos ao reduzir o tempo e o esforço necessários para praticar uma série de atividades criminosas e abusivas online. No total, o grupo criou cerca de 750 milhões de contas Microsoft fraudulentas, gerando milhões de dólares em receitas ilícitas e custando muito mais para as empresas combaterem as atividades criminosas.

Diversos grupo estavam usando as contas do Storm-1152 para se envolver em ransomware, roubo de dados e extorsão, incluindo Octo Tempest, Storm-0252, Storm-0455, entre outros. O negócio de venda de contas do Storm-1152 fez do grupo um dos maiores fornecedores online de cibercrime como serviço.

A Microsoft vinha monitorando o crescimento dessa atividade maliciosa desde 2022, e intensificou o uso de algoritmos de aprendizado de máquina para detectar e prevenir padrões associados à criação dessas contas fraudulentas. No entanto, o segundo trimestre de 2023 marcou um ponto de inflexão devido ao abuso crescente das plataformas da Microsoft e de seus parceiros. Foi necessário tomar medidas mais agressivas, então uma equipe multifuncional formada pela Microsoft e nosso parceiro Arkose Labs entrou em cena.

Depois da ação, notamos uma redução de cerca de 60% no tráfego de criação de contas. Essa queda está alinhada com os 60% ou mais de registros que nossos algoritmos e parceiros identificaram como abusivos e que, por isso, foram suspensos dos serviços da Microsoft. 

O esforço coordenado levou a Unidade de Crimes Digitais (DCU) da Microsoft a dar inícioa primeira ação judicial em dezembro de 2023 para apreender e fechar os sites usados pelo Storm-1152 para vender seus serviços. Após essa ação, notamos uma redução de cerca de 60% no tráfego de criação de contas. Essa queda está alinhada com os 60% ou mais de registros que nossos algoritmos e parceiros identificaram como abusivos e que, por isso, foram suspensos dos serviços da Microsoft. Em 23 de julho, entramos com uma segunda ação civil para desmantelar a nova infraestrutura que o grupo tentou estabelecer após nossa ação judicial de dezembro.

Este relatório sobre a ameaça emergente revela os bastidores da operação e destaca a importância da colaboração entre os setores para combater ameaças cibernéticas. O caso é um exemplo claro de como a indústria pode usar canais legais para deter grupos e garantir a segurança das pessoas online. Ele também destaca a importância de ações contínuas e como as medidas legais ainda são um método eficaz contra os cibercriminosos, mesmo quando eles mudam suas táticas. No final das contas, nenhuma operação é uma solução única e definitiva.

A descoberta e identificação do Storm-1152

Em fevereiro de 2023, Matthew Mesa, pesquisador sênior de segurança no Centro de Inteligência contra Ameaças da Microsoft (MSTIC), observou um padrão de aumento nas contas do Microsoft Outlook usadas em campanhas de phishing em massa. Na sua função, Matthew analisa campanhas de email e procura por atividades suspeitas. Ao notar que o uso de contas fraudulentas estava crescendo, ele se perguntou: "será que todas essas contas estão relacionadas?"

Ele rapidamente criou um novo perfil de ator de ameaça, o Storm-1152, e começou a rastrear suas atividades, sinalizando suas descobertas para a equipe de identidade da Microsoft. Shinesa Cambric, gerente principal de produtos da Equipe de Defesa Anti-Abuso e Fraude da Microsoft, também acompanhava essa atividade maliciosa e observou um aumento de contas automatizadas (bots) tentando burlar os desafios CAPTCHA usados para proteger o processo de criação de conta dos serviços para consumidores da Microsoft.​

"A minha equipe se preocupa com a experiência do consumidor quanto com a experiência empresarial, o que significa que estamos protegendo bilhões de contas todos os dias contra fraudes e abusos", explica Shinesa. "Nosso papel é entender as metodologias dos atores de ameaças para que possamos contornar ataques e prevenir acessos aos nossos sistemas. Estamos sempre pensando em como barrar esses criminosos logo na entrada".

O que chamou sua atenção foi o aumento da fraude associado à essa atividade. Quando vários parceiros da Microsoft e até partes da nossa cadeia de fornecedores relataram os danos causados por essas contas Microsoft criadas por bots, Shinesa entrou em ação.

Juntamente com o provedor de defesa cibernética e gerenciamento de bots Arkose Labs, a equipe de Shinesa trabalhou para identificar e desativar as contas fraudulentas do grupo e compartilhou detalhes de seu trabalho com colegas que trabalham com inteligência cibernética no MSTIC da Microsoft e na unidade de Pesquisa de Inteligência contra Ameaças Cibernéticas da Arkose (ACTIR).

"Nosso papel é entender as metodologias dos atores de ameaças para que possamos contornar ataques e prevenir acessos aos nossos sistemas. Estamos sempre pensando em como barrar esses criminosos logo na entrada". 
Shinesa Cambric 
gerente principal de produtos, Equipe de Defesa Anti-Abuso e Fraude, Microsoft 

"Inicialmente, nosso trabalho era proteger a Microsoft contra a criação maliciosa de contas", explica Patrice Boffa, diretor de atendimento ao cliente da Arkose Labs, "No entanto, quando o Storm-1152 foi identificado como um grupo, também começamos a coletar muitas informações sobre ameaças".

Entendendo o Storm-1152

Como um grupo motivado por ganhos financeiros e em constante desenvolvimento, o Storm-1152 se destacou por ser incomumente bem organizado e profissional em suas ofertas de crimes cibernéticos como serviço (CaaS). Operando como uma empresa legítima, o Storm-1152 realizava seus serviços de resolução de CAPTCHA às claras.

"Se você não soubesse que se tratava de uma organização maliciosa, poderia compará-la com qualquer outra empresa de SaaS", 
Patrice Boffa
diretor de atendimento ao cliente, Arkose Labs

"Se você não soubesse que se tratava de uma organização maliciosa, poderia compará-la com qualquer outra empresa de SaaS", diz Patrice, acrescentando que o site AnyCAPTCHA.com do Storm-1152 tinha uma presença pública, aceitava pagamentos em criptomoedas através do PayPal e até oferecia um canal de suporte.

Esse serviço usava bots para coletar tokens CAPTCHA em massa, que eram vendidos para clientes. Esse clientes, por sua vez, usavam os tokens para atividades impróprias (como a criação em massa de contas Microsoft fraudulentas para depois utilizar em ataques cibernéticos), antes que expirassem. As tentativas de criar contas fraudulentas estavam acontecendo com uma velocidade e eficiência tão impressionantes que a equipe da Arkose Labs concluiu que o grupo estava usando tecnologia de aprendizado de máquina automatizada. 

"Quando percebemos como eles estavam se adaptando rápido aos nossos esforços de mitigação, ficou claro que muitos dos ataques eram baseados em IA", disse Patrice. "Comparado a outros adversários que já enfrentamos, o Storm-1152 usou a IA de maneiras inovadoras". As equipes da Arkose Labs e da Microsoft notaram uma mudança nas táticas comerciais do grupo para se adaptar ao aumento dos esforços de detecção e prevenção.

Inicialmente, o grupo focava em oferecer serviços para criminosos que queriam burlar as defesas de segurança de outras empresas de tecnologia, sendo a ​Microsoft​ uma das maiores vítimas. O Storm-1152 ofereceu serviços para​burlar​​​ as defesas e criar contas fraudulentas e, em seguida, lançou um novo serviço ao perceber a detecção. Em vez de fornecer ferramentas para burlar as defesas de criação de contas, eles começaram a usar seus próprios tokens para derrotar CAPTCHA. Esses tokens, coletados por bots, eram usados para criar contas fraudulentas da Microsoft para revenda.

"O que vimos com o Storm-1152 é típico", diz Patrice. Toda vez que você pega um ator de ameças, ele tenta algo diferente. Manter-se à frente deles é um jogo de gato e rato".

Desenvolvendo um caso judicial contra o Storm-1152

Quando a atividade fraudulenta atingiu um ponto crítico em março de 2023, Shinesa e Matthew decidiram envolver a Unidade de Crimes Digitais (DCU) da Microsoft para ver o que mais poderia ser feito.

Como o braço de imposição externa da Microsoft, a DCU geralmente persegue apenas os criminosos mais sérios ou persistentes. Ela foca na interrupção e no aumento do custo das operações criminosas, usando referências criminais e/ou ações civis como principais ferramentas.

Sean Farrell, conselheiro principal da equipe de Imposição contra Crimes Cibernéticos da DCU da Microsoft, Jason Lyons, gerente principal de investigações na mesma equipe, e o investigador sênior de crimes cibernéticos, Maurice Mason, se reuniram para investigar mais a fundo. Eles coordenaram com o advogado externo da Microsoft para elaborar uma estratégia jurídica e reuniram as evidências necessárias para entrar uma ação civil, aproveitando insights de várias equipes da Microsoft e informações sobre ameaças que a Arkose Labs estava coletando.

"Muito trabalho já havia sido feito antes da DCU entrar em cena,” lembra Jason. “A equipe de Identidade e a Arkose Labs já tinham feito um trabalho significativo na identificação e desativação de contas, e como o MSTIC conseguiu vincular essas contas a certos níveis de infraestrutura, pensamos que esse seria um bom caso jurídico para a DCU"

Alguns dos fatores que contribuem para a formação de um caso que vale a pena ser investigado incluem a existência de leis aplicáveis para a ação civil, a existência de jurisdição e a disposição da empresa em nomear publicamente os indivíduos envolvidos.

Jason comparou a consideração desses fatores a um processo de triagem, onde a DCU analisou os fatos e informações para decidir se era válido seguir com a ação. "Com base no que fazemos, perguntamos se queremos investir nosso tempo e energia nessa ação", afirma ele. "O impacto vai justificar os recursos que temos que investir?" Neste caso, a resposta foi sim.

Maurice foi encarregado de rastrear as atividades de crimes cibernéticos como serviço do Storm-1152. "Meu papel era rastrear como o Storm-1152 vendia essas contas fraudulentas para outros grupos e identificar os indivíduos por trás do Storm-1152", explica Maurice.

Através de um trabalho investigativo detalhado, que incluiu análise de páginas de redes sociais e identificadores de pagamento, a Microsoft e a Arkose Labs conseguiram identificar os indivíduos por trás do Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen.

As descobertas mostraram que esses indivíduos eram responsáveis por operar e programar os sites ilícitos, além de publicar tutoriais em vídeo com o passo a passo detalhado sobre como usar seus produtos e oferecer serviços de chat para ajudar os usuários que usavam seus serviços fraudulentos. A equipe também fez conexões com a infraestrutura técnica do grupo, localizada em servidores nos EUA.

"Um dos motivos pelos quais buscamos essas ações na DCU é para minimizar o impacto desses cibercriminosos. Fazemos isso entrando com processos judiciais ou fornecendo referências criminais que podem levar a prisões e acusações".
Sean Farrell 
conselheiro principal da Equipe de Imposição contra de Crimes Cibernéticos da Microsoft, explica:

Sobre a decisão de seguir com o caso, Sean acrescenta: "aqui, tivemos sorte de contar com o ótimo trabalho das equipes, que identificaram os atores responsáveis pela infraestrutura e pelos serviços criminosos.

Um dos motivos pelos quais buscamos essas ações na DCU é para minimizar o impacto desses cibercriminosos. Fazemos isso entrando com processos judiciais ou fornecendo referências criminais que podem levar a prisões e acusações. Acredito que isso manda uma mensagem forte quando você consegue identificar os atores e nomeá-los publicamente em petições jurídicas nos EUA".​​

Storm-1152 ressurge e marca o início de uma segunda ação judicial​

Após a interrupção em dezembro de 2023, a equipe viu uma queda imediata na infraestrutura. No entanto, o Storm-1152 ressurgiu lançando um novo site, o RockCAPTCHA, e novos tutoriais para ajudar seus clientes. O RockCAPTCHA visava a Microsoft com serviços desenvolvidos especificamente para tentar burlar as medidas de segurança CAPTCHA da Arkose Labs. A ação de julho permitiu que a Microsoft assumisse o controle deste site e desferisse outro golpe contra os criminosos.

A unidade de Pesquisa de Inteligência contra Ameaças Cibernéticas da Arkose (ACTIR) analisou mais de perto como o Storm-1152 estava tentando reconstruir seus serviços. O grupo começou a usar táticas mais sofisticadas, intensificando o uso de inteligência artificial (IA) para esconder suas atividades e evadir a detecção. Esse ressurgimento é um reflexo das mudanças no cenário de ameaças e mostra as capacidades avançadas de invasores bem versados em tecnologias de IA. 

Uma das áreas principais onde o Storm-1152 usou IA foi nas técnicas de evasão. A Arkose Labs observou o grupo usar IA para gerar assinaturas sintéticas semelhantes às humanas.

Vikas Shetty é o chefe de produto da Arkose Labs e lidera a unidade de pesquisa contra ameaças, a ACTIR. "O uso de modelos de IA permite que os invasores treinem sistemas para emitir essas assinaturas semelhantes às humanas, que podem ser usadas em escala para ataques", expõe Vikas. A complexidade e variedade dessas assinaturas serão cada vez mais desafiadoras para os métodos de detecção e prevenção tradicionais".

Além disso, a Arkose Labs observou que o Storm-1152 estava tentando recrutar e empregar engenheiros de IA, incluindo estudantes de mestrado, candidatos a PhD e até professores em países como Vietnã e China.

"Esses profissionais são pagos para desenvolver modelos avançados de IA que conseguem contornar medidas de segurança sofisticadas. A expertise desses engenheiros de IA garante que os modelos sejam não só eficazes, mas também adaptáveis aos protocolos de segurança em constante evolução", diz Vikas.

A persistência é fundamental para interromper de forma significativa as operações dos criminosos cibernéticos e para acompanhar como eles se adaptam e usam novas tecnologias.

"Devemos continuar a ser persistentes e tomar ações que dificultem a vida dos criminosos na hora de ganhar dinheiro", disse Sean. "É por isso que apresentamos uma segunda ação para assumir o controle desse novo domínio. Precisamos deixar claro que não toleraremos atividades que prejudicam nossos clientes e pessoas online".

Lições aprendidas e implicações para o futuro

Ao refletir sobre o resultado da investigação e interrupção do Storm-1152, Sean destaca que o caso é importante não apenas pelo impacto que teve sobre nós e outras empresas afetadas, mas também pelo esforço da Microsoft em ampliar o impacto dessas operações, que fazem parte do ecossistema geral de crime cibernético como serviço.

Uma mensagem forte para o público

"Mostrar que conseguimos aplicar os mecanismos legais que usamos com tanta eficácia contra ataques de malware e operações de estados-nação resultou em uma mitigação significativa da atividade do ator, que caiu para quase zero por um bom tempo depois que entramos com a ação judicial", afirma Sean. "Acho que isso nos mostrou que é possível ter uma verdadeira dissuasão, e a mensagem que o público capta disso é importante. Não apenas pelo impacto, mas pelo bem maior da comunidade online".

Novos vetores de acesso na identidade

Outra observação importante tem sido a mudança geral dos atores de ameaças, que estão deixando de tentar comprometer pontos de extremidade e estão focando em roubar identidades.  Na maioria dos ataques de ransomware, vemos que os atores de ameaça utilizam identidades roubadas ou comprometidas como seu vetor de ataque inicial.
"Essa tendência está mostrando que a identidade se tornará o vetor de acesso inicial para os incidentes futuros", diz Maurice. "Os CISOs devem considerar adotar uma abordagem mais séria em relação à identidade ao modelar suas organizações, focar primeiro no lado da identidade e depois passar para os pontos de extremidade".

Inovação contínua é essencial

O ressurgimento do Storm-1152 e suas estratégias baseadas em IA ressaltam a natureza evolutiva das ameaças cibernéticas. O uso sofisticado de IA para evasão e resolução de desafios representa grandes obstáculos para as medidas de segurança tradicionais. As organizações devem se adaptar incorporando técnicas avançadas de detecção e mitigação impulsionadas por IA para se manterem à frente dessas ameaças.
"O caso do Storm-1152 destaca a necessidade crítica de inovação contínua em cibersegurança para enfrentar as táticas sofisticadas empregadas por invasores versados em IA", explica Vikas. "À medida que esses grupos evoluem, as defesas projetadas para proteger contra eles também devem evoluir".

Sabemos que continuaremos enfrentando novos desafios de segurança nos próximos dias, mas estamos otimistas com o que aprendemos com essa ação. Como membro da comunidade de defensores, sabemos que trabalhamos melhor juntos em prol do bem comum, e que a colaboração contínua entre os setores público e privado é essencial no combate ao cibercrime.

Sean diz: "A colaboração entre equipes desta ação, que uniu esforços de inteligência contra ameaças, proteção de identidade, investigação, atribuição, ações legais e parcerias externas, serve como um modelo de como devemos operar".

Artigos relacionados

Impedir os serviços de gateway para o crime cibernético

A Microsoft, com o suporte da inteligência contra ameaças da Arkose Labs, está tomando medidas técnicas e legais para impedir as ações do principal vendedor e criador de contas fraudulentas da Microsoft, um grupo que chamamos de Storm-1152. Estamos observando, tomamos conhecimento e agiremos para proteger nossos clientes.
Saiba mais

A Microsoft, a Amazon e as autoridades policiais internacionais se unem para combater a fraude no suporte técnico

Veja como a Microsoft e a Amazon uniram forças pela primeira vez para acabar com as centrais de suporte técnico ilegais na Índia.
Saiba mais

Por dentro da luta contra os hackers que perturbaram eram hospitais e colocaram vidas em risco

Conheça os bastidores da operação conjunta entre a Microsoft, a fabricante de software Fortra e a Health-ISAC para interromper servidores Cobalt Strike crackeados e dificultar a operação dos criminosos cibernéticos.
Saiba mais

Siga a Segurança da Microsoft