Microsoft dice que ha desmantelado con éxito la infraestructura de una operación de delito cibernético que vendía acceso a cuentas fraudulentas de Outlook a otros piratas informáticos, incluida la famosa banda Scattered Spider.
El grupo, rastreado por Microsoft como “Storm-1152”, se describe como un actor importante en el ecosistema de cibercrimen como servicio (CaaS), mediante el cual los delincuentes brindan servicios de piratería y cibercrimen a otros individuos o grupos. Storm-1152 creó para la venta aproximadamente 750 millones de cuentas fraudulentas de Microsoft a través de su servicio “hotmailbox.me” para ganar “millones de dólares en ingresos ilícitos” y causar “millones de dólares en daños a Microsoft”, según la empresa. El gigante tecnológico describió la operación como la “vendedora y creadora número uno de cuentas fraudulentas de Microsoft”.
Microsoft describió esta operación como un “plan para utilizar ‘bots’ de Internet para piratear y engañar a los sistemas de seguridad de Microsoft haciéndoles creer que son consumidores humanos legítimos de los servicios de Microsoft, abrir cuentas de correo electrónico de Microsoft Outlook con nombres de usuarios ficticios y vender esas cuentas fraudulentas. a los ciberdelincuentes”.
El grupo también operaba servicios de resolución de tarifas para CAPTCHA, incluidos “1stCAPTCHA”, “AnyCAPTCHA” y “NoneCAPTCHA”, según Microsoft. Storm-1152 promovió estos solucionadores como una forma de eludir cualquier tipo de CAPTCHA, permitiendo a los estafadores abusar de los entornos en línea de Microsoft y empresas de otras industrias.
Microsoft dijo que había identificado varios grupos de ransomware y extorsión que utilizan los servicios de Storm-1152, incluido Octo Tempest, más conocido como Scattered Spider. Scattered Spider, un grupo de hackers ahora notorio que se cree que está formado por miembros jóvenes de habla inglesa, fue vinculado a principios de este año con una serie de ataques dirigidos a clientes de Okta en un intento por extraer datos confidenciales. El grupo también se atribuyó la responsabilidad del ataque a MGM Resorts que le costará al gigante de hoteles y casinos unos 100 millones de dólares.
Microsoft dijo en una orden judicial obtenida el 7 de diciembre que su investigación sobre Storm-1152 reveló que los piratas informáticos de Scattered Spider también cometieron recientemente “ataques masivos de ransomware contra clientes emblemáticos de Microsoft”, lo que resultó en interrupciones del servicio que causaron daños por cientos de millones de dólares.
Los servicios de Storm-1152 también han sido utilizados por grupos cibercriminales «para perjudicar no sólo a Microsoft, sino a muchas otras empresas de tecnología como X (anteriormente Twitter) y Google y sus clientes», según la denuncia. Google no respondió de inmediato a las preguntas de TechCrunch. Un mensaje enviado al correo electrónico de prensa de X recibió una respuesta automática: «Ocupado ahora, vuelva a consultar más tarde».
Microsoft anunció el miércoles que se había apoderado con éxito de la infraestructura y los dominios estadounidenses de Storm-1152 después de obtener la orden judicial del Distrito Sur de Nueva York. Estas medidas incluyeron apoderarse de hotmailbox.me e interrumpir servicios como 1stCAPTCHA, AnyCAPTCHA y NoneCAPTCHA, así como apuntar a las cuentas de redes sociales utilizadas por Storm-1152 para promocionar estos servicios.
La compañía dijo que también había identificado a las personas detrás de las operaciones de Storm-1152. Estos individuos, llamados Duong Dinh Tu, Linh Van Nguyễn (también conocido como Nguyễn Van Linh) y Tai Van Nguyen, tienen su sede en Vietnam, según Microsoft.
«Con la acción de hoy, nuestro objetivo es disuadir el comportamiento delictivo», dijo April Hogan-Burney, directora general de la Unidad de Delitos Digitales de Microsoft. «Al tratar de reducir la velocidad a la que los ciberdelincuentes lanzan sus ataques, nuestro objetivo es aumentar el costo de hacer negocios mientras continuamos nuestra investigación y protegemos a nuestros clientes y otros usuarios en línea».
Microsoft contó con la ayuda de la empresa de ciberseguridad Arkose Labs, con sede en San Francisco, para derribar Storm-1152, que dijo que había estado rastreando la operación desde agosto de 2021.
«Storm-1152 es un enemigo formidable establecido con el único propósito de ganar dinero al permitir a los adversarios cometer ataques complejos», dijo Kevin Gosschalk, fundador y director ejecutivo de Arkose Labs, en un comunicado enviado a TechCrunch. “El grupo se distingue por el hecho de que construyó su negocio CaaS a la luz del día y no en la web oscura. Storm-1152 funcionó como una empresa típica de Internet, brindando capacitación para sus herramientas e incluso ofreciendo soporte completo al cliente. En realidad, Storm-1152 fue una puerta de entrada a un fraude grave”.