En Microsoft seguimos buscando formas creativas de proteger a las personas en línea y eso incluye no tolerar a quienes crean copias fraudulentas de nuestros productos para perjudicar a otros. Las cuentas fraudulentas en línea actúan como puerta de enlace para un sinfín de ciberdelitos, como el phishing masivo, la usurpación de identidad y el fraude, y los ataques distribuidos de denegación de servicio (DDoS). Por eso, hoy, con la valiosa información sobre amenazas de Arkose Labs, un proveedor líder en defensa de ciberseguridad y administración de bots, nos enfrentamos al vendedor y creador número uno de cuentas fraudulentas de Microsoft, un grupo al que llamamos Storm-1152. Estamos enviando un mensaje contundente a quienes intentan crear, vender o distribuir productos fraudulentos de Microsoft para cometer ciberdelitos: estamos atentos, analizamos y actuaremos para proteger a nuestros clientes. Storm-1152 gestiona sitios web y páginas de redes sociales ilícitas en las que vende cuentas fraudulentas de Microsoft y herramientas para eludir el software de verificación de identidad en conocidas plataformas tecnológicas. Estos servicios reducen el tiempo y el esfuerzo necesarios para que los delincuentes lleven a cabo una serie de conductas delictivas y abusivas en línea. Hasta la fecha, Storm-1152 ha creado para su venta aproximadamente 750 millones de cuentas fraudulentas de Microsoft, lo que ha reportado al grupo millones de dólares en ingresos ilícitos y ha supuesto a Microsoft y a otras empresas un coste aún mayor para combatir su actividad delictiva. Con la acción de hoy, nuestro objetivo es disuadir el comportamiento delictivo. Al tratar de ralentizar la velocidad a la que los ciberdelincuentes lanzan sus ataques, pretendemos aumentar el coste de su actividad, al tiempo que continuamos nuestra investigación y protegemos a nuestros clientes y a otros usuarios en línea.
Obtenga información directa de los expertos del podcast de Inteligencia contra amenazas Microsoft. Escuchar ahora.
Interrumpir los servicios de puerta de enlace al ciberdelito
Storm-1152 desempeña un papel importante en el ecosistema altamente especializado del ciberdelito como servicio. Los ciberdelincuentes necesitan cuentas fraudulentas para apoyar sus actividades delictivas, en gran medida automatizadas. Dado que las empresas pueden identificar y cerrar rápidamente las cuentas fraudulentas, los delincuentes necesitan una mayor cantidad de cuentas para eludir los intentos de mitigación. En lugar de perder tiempo intentando crear miles de cuentas fraudulentas, los ciberdelincuentes pueden simplemente comprarlas a Storm-1152 y otros grupos. Esto permite a los delincuentes centrar sus esfuerzos en sus objetivos finales de phishing, spam, ransomware y otros tipos de fraude y abuso. Storm-1152 y grupos como ellos permiten a decenas de ciberdelincuentes llevar a cabo sus actividades maliciosas de forma más eficiente y eficaz.
Inteligencia contra amenazas Microsoft ha identificado múltiples grupos dedicados al ransomware, robo de datos y extorsión que han utilizado cuentas de Storm-1152. Por ejemplo, Octo Tempest, también conocido como Scattered Spider, obtuvo cuentas fraudulentas de Microsoft de Storm-1152. Octo Tempest es un grupo de ciberdelincuentes con motivaciones financieras que aprovecha amplias campañas de ingeniería social para comprometer a organizaciones de todo el mundo con el objetivo de extorsionarlas económicamente. Microsoft sigue el rastro de otros múltiples actores de amenazas de ransomware o extorsión que han adquirido cuentas fraudulentas de Storm-1152 para potenciar sus ataques, entre ellos Storm-0252 y Storm-0455.
El jueves 7 de diciembre, Microsoft obtuvo una orden judicial del distrito sur de Nueva York para confiscar la infraestructura con sede en Estados Unidos y desconectar los sitios web utilizados por Storm-1152 para perjudicar a los clientes de Microsoft. Aunque nuestro caso se centra en las cuentas fraudulentas de Microsoft, los sitios web afectados también vendían servicios para burlar las medidas de seguridad de otras conocidas plataformas tecnológicas. Por lo tanto, la acción de hoy tiene un impacto más amplio, que beneficia a los usuarios más allá de Microsoft. En concreto, la unidad de crímenes digitales de Microsoft inutilizó los siguientes recursos:
- Hotmailbox.me, un sitio web que vende cuentas fraudulentas de Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA y NoneCAPTCHA, sitios web que facilitan las herramientas, la infraestructura y la venta del servicio de resolución CAPTCHA para eludir la confirmación de uso y configuración de cuenta por parte de una persona real. Estos sitios vendían herramientas de elusión de verificación de identidad para otras plataformas tecnológicas.
- Las redes sociales se utilizan activamente para comercializar estos servicios.
Imágenes de los sitios web ilícitos de Storm-1152.
Microsoft se compromete a proporcionar una experiencia digital segura a todas las personas y organizaciones del planeta. Trabajamos en estrecha colaboración con Arkose Labs para implementar una solución de defensa CAPTCHA de última generación. La solución requiere que cada usuario potencial que desee abrir una cuenta Microsoft declare que es un ser humano (no un bot) y verifique la exactitud de esa representación resolviendo varios tipos de desafíos.
Como dice Kevin Gosschalk, fundador y director ejecutivo de Arkose Labs: "Storm-1152 es un enemigo formidable establecido con el único propósito de ganar dinero capacitando a los adversarios para cometer ataques complejos. El grupo se distingue por haber desarrollado su actividad CaaS a la luz del día y no en la web oscura. Storm-1152 funcionaba como una empresa típica de Internet, proporcionaba formación sobre sus herramientas e incluso ofrecía asistencia completa al cliente. En realidad, Storm-1152 era una puerta de enlace abierta a graves fraudes".
La actividad de Storm-1152 no solo viola los términos de los servicios de Microsoft al vender cuentas fraudulentas, sino que también busca a propósito perjudicar a los clientes de Arkose Labs y engañar a las víctimas haciéndose pasar por usuarios legítimos en un intento de eludir las medidas de seguridad.
Captura de pantalla de una incautación de dominio iniciada por Microsoft debido a que este sitio web intenta vender cuentas de Microsoft obtenidas fraudulentamente
Nuestro análisis de la actividad de Storm-1152 incluyó detección, análisis, telemetría, compras de prueba encubiertas e ingeniería inversa para localizar la infraestructura maliciosa hospedada en Estados Unidos. Inteligencia contra amenazas Microsoft y la unidad de inteligencia sobre ciberamenazas de Arkose (ACTIR) proporcionaron datos e información adicionales para reforzar nuestros argumentos jurídicos.
Como parte de nuestra investigación, pudimos confirmar la identidad de los actores que dirigían las operaciones de Storm-1152, Duong Dinh Tu, Linh Van Nguyễn (también conocido como Nguyễn Van Linh) y Tai Van Nguyen, afincados en Vietnam. Nuestros hallazgos muestran que estos individuos operaban y escribían el código de los sitios web ilícitos, publicaban instrucciones detalladas paso a paso sobre cómo utilizar sus productos a través de videotutoriales y ofrecían servicios de chat para ayudar a quienes utilizaban sus servicios fraudulentos.
Desde entonces, Microsoft ha remitido una denuncia penal a las fuerzas de seguridad estadounidenses. Estamos agradecidos por nuestra colaboración con las fuerzas del orden, encargadas de llevar ante la justicia a quienes pretenden perjudicar a nuestros clientes.
Canal de YouTube de Duong Dinh Tu con "vídeos prácticos" para burlar las medidas de seguridad.
La acción de hoy es una continuación de la estrategia de Microsoft de apuntar al amplio ecosistema de la ciberdelincuencia y atacar las herramientas que los ciberdelincuentes utilizan para lanzar sus ataques. Se basa en nuestra expansión de un método legal utilizado con éxito para interrumpir las operaciones de programas maliciosos y de estados nación. También nos hemos asociado con otras organizaciones del sector para aumentar el intercambio de información sobre el fraude y seguir mejorando nuestros algoritmos de inteligencia artificial y aprendizaje automático que detectan y señalan rápidamente las cuentas fraudulentas.
Como hemos dicho antes, ninguna interrupción se completa en un día. La persecución de la ciberdelincuencia exige persistencia y vigilancia permanente para interrumpir las nuevas infraestructuras maliciosas. Aunque la acción legal de hoy afectará a las operaciones de Storm-1152, esperamos que otros actores de amenazas adapten sus técnicas como consecuencia de ello. La colaboración continua de los sectores público y privado, como la de hoy con Arkose Labs y las fuerzas de seguridad estadounidenses, sigue siendo esencial si queremos reducir significativamente el impacto de la ciberdelincuencia.
Seguir a Microsoft