Na Microsoft, continuamos a procurar maneiras criativas de proteger as pessoas online, o que inclui não tolerar aqueles que criam cópias fraudulentas de nossos produtos para prejudicar outras pessoas. Contas online fraudulentas funcionam como porta de entrada para diversos crimes cibernéticos, incluindo phishing em massa, roubo e fraude de identidade e ataques distribuídos de negação de serviço (DDoS). É por isso que hoje usamos valiosos insights de inteligência contra ameaças da Arkose Labs, um dos principais fornecedores de defesa de segurança cibernética e gerenciamento de bots, para agir contra o principal vendedor e criador de contas fraudulentas da Microsoft, um grupo que chamamos de Storm-1152. Enviamos uma forte mensagem àqueles que buscam criar, vender ou distribuir produtos fraudulentos da Microsoft para o crime cibernético: estamos observando, tomamos conhecimento e agiremos para proteger nossos clientes. O Storm-1152 administra sites ilícitos e páginas de redes sociais, vendendo contas fraudulentas da Microsoft e ferramentas para contornar o software de verificação de identidade em plataformas de tecnologia conhecidas. Esses serviços reduzem o tempo e o esforço necessários para que os criminosos realizem diversos comportamentos criminosos e abusivos online. Até o momento, o Storm-1152 criou para venda aproximadamente 750 milhões de contas fraudulentas da Microsoft, gerando milhões de dólares em receita ilícita para o grupo e custando ainda mais à Microsoft e a outras empresas para combater as atividades criminosas. Com a ação de hoje, o nosso objetivo é impedir o comportamento criminoso. Ao tentar diminuir a velocidade com que os criminosos cibernéticos lançam seus ataques, pretendemos aumentar os custos deles e, ao mesmo tempo, continuar nossa investigação e proteger nossos clientes e outros usuários online.
Inscreva-se agora para assistir ao seminário na Web e fique por dentro dos insights do Relatório de Defesa Digital da Microsoft de 2024.
Impedir os serviços de gateway para o crime cibernético
O Storm-1152 desempenha um papel significativo no ecossistema altamente especializado de crimes cibernéticos como serviço. Os criminosos cibernéticos precisam de contas fraudulentas para suportar suas atividades criminosas amplamente automatizadas. Como atualmente as empresas conseguem identificar e encerrar rapidamente as contas fraudulentas, os criminosos precisam de uma quantidade ainda maior de contas para contornar os esforços de mitigação. Em vez de gastar tempo tentando criar milhares de contas fraudulentas, os criminosos cibernéticos podem simplesmente comprá-las do Storm-1152 e de outros grupos. Isso permite que os criminosos concentrem seus esforços em seus objetivos finais de phishing, spamming, ransomware e outros tipos de fraude e abuso. O Storm-1152 e outros grupos possibilitam que dezenas de criminosos cibernéticos realizem suas atividades mal-intencionadas de forma mais eficiente e eficaz.
As Informações sobre ameaças da Microsoft identificou vários grupos envolvidos em ransomware, roubo de dados e extorsão que usaram contas do Storm-1152. Por exemplo, Octo Tempest, também conhecido como Scattered Spider, obteve contas fraudulentas da Microsoft por meio do Storm-1152. O Octo Tempest é um grupo de crime cibernético com motivação financeira que utiliza amplas campanhas de engenharia social para comprometer organizações em todo o mundo com o objetivo de executar extorsão financeira. A Microsoft continua a rastrear vários outros agentes de ameaças de ransomware ou extorsão que adquiriram contas fraudulentas do Storm-1152 para aprimorar seus ataques, incluindo o Storm-0252 e o Storm-0455.
Na quinta-feira, 7 de dezembro, a Microsoft obteve uma ordem judicial do Distrito Sul de Nova York para confiscar a infraestrutura sediada nos Estados Unidos e retirar do ar os sites usados pelo Storm-1152 para prejudicar os clientes da Microsoft. Embora nosso caso se concentre em contas fraudulentas da Microsoft, os sites afetados também vendiam serviços para contornar medidas de segurança em outras plataformas tecnológicas conhecidas. Portanto, esta ação teve um impacto maior, beneficiando usuários não só da Microsoft. Especificamente, a Unidade de Crimes Digitais da Microsoft interrompeu:
- Hotmailbox.me, um site que vende contas fraudulentas do Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA e NoneCAPTCHA, sites que facilitam a criação de ferramentas, infraestrutura e venda do serviço de solução de CAPTCHA para contornar a confirmação de uso e a configuração da conta por uma pessoa real. Esses sites vendiam ferramentas de desvio de verificação de identidade para outras plataformas de tecnologia.
- Os sites de redes sociais usados ativamente para comercializar esses serviços.
Imagens dos sites ilícitos do Storm-1152.
A Microsoft está empenhada em fornecer uma experiência digital segura para todas as pessoas e organizações do planeta. Trabalhamos em estreita colaboração com o Arkose Labs para implantar uma avançada solução de defesa CAPTCHA. A solução exige que todos os possíveis usuários que desejam abrir uma conta Microsoft declarem que são seres humanos (não um bot) e verifiquem a precisão dessa representação resolvendo vários tipos de desafios.
Como disse o fundador e CEO da Arkose Labs, Kevin Gosschalk: "O Storm-1152 é um inimigo formidável, estabelecido com o único objetivo de ganhar dinheiro capacitando os adversários a cometer ataques complexos. O grupo se distingue pelo fato de ter construído seu negócio de CaaS à luz do dia e não na dark web. O Storm-1152 operava como uma empresa típica de internet, fornecendo treinamento para suas ferramentas e até mesmo suporte completo ao cliente. Na realidade, o Storm-1152 era uma porta de entrada aberta para fraudes graves."
A atividade do Storm-1152 não apenas viola os termos de serviços da Microsoft ao vender contas fraudulentas, mas também busca propositalmente prejudicar os clientes da Arkose Labs e enganar as vítimas fingindo ser usuários legítimos em uma tentativa de contornar as medidas de segurança.
Captura de tela da apreensão de domínio iniciada pela Microsoft porque o site vendeu contas Microsoft obtidas de forma fraudulenta
Nossa análise da atividade do Storm-1152 incluiu detecção, análise, telemetria, testes de compra disfarçados e engenharia reversa para identificar a infraestrutura mas-intencionada hospedada nos Estados Unidos. As Informações sobre ameaças da Microsoft e a unidade Arkose Cyber Threat Intelligence Research (ACTIR) forneceram dados e insights adicionais para fortalecer nosso caso jurídico.
Como parte da nossa investigação, conseguimos confirmar a identidade dos atores que lideram as operações do Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen, baseados no Vietnã. Nossas descobertas mostram que esses indivíduos operaram e escreveram o código para sites ilícitos, publicaram instruções passo a passo detalhadas sobre como usar seus produtos por meio de tutoriais em vídeo e forneceram serviços de chat para ajudar aqueles que usavam seus serviços fraudulentos.
Desde então, a Microsoft apresentou uma denúncia criminal às autoridades dos EUA. Somos gratos por nossa parceria com as autoridades policiais, que possibilitaram levar à justiça aqueles que procuram prejudicar nossos clientes.
Canal do YouTube de Duong Dinh Tu com "vídeos de orientação" para contornar medidas de segurança.
A ação de hoje é uma continuação da estratégia mais ampla da Microsoft de mirar no ecossistema cibercriminoso e visar as ferramentas que os cibercriminosos usam para lançar seus ataques. Ela tem como base a nossa expansão de um método legal usado com sucesso para interromper operações de malware e de estado-nação. Também fizemos parcerias com outras organizações do setor para aumentar o compartilhamento de informações sobre fraudes e aprimorar ainda mais nossos algoritmos de inteligência artificial e aprendizado de máquina que detectam e sinalizam rapidamente contas fraudulentas.
Como dissemos anteriormente, nenhuma interrupção é concluída em um dia. A perseguição ao crime cibernético exige persistência e vigilância contínua para interromper qualquer nova infraestrutura mal-intencionada. Embora a ação legal de hoje afete as operações do Storm-1152, esperamos que outros agentes de ameaças adaptem suas técnicas como resultado disso. A colaboração contínua dos setores público e privado, como a de hoje com a Arkose Labs e as autoridades policiais dos EUA, continua sendo essencial se quisermos reduzir significativamente o impacto do crime cibernético.
Siga a Segurança da Microsoft