Trace Id is missing

Información sobre el creciente riesgo del fraude de las tarjetas regalo

Descargar
Compartir
Un ordenador portátil del que salen volando tarjetas regalo y de crédito

Cyber Signals edición 7: A la boca del lobo

En una época en la que las transacciones digitales y las compras online se han convertido en parte esencial de nuestra vida cotidiana, se cierne la amenaza del ciberdelito. Entre estas amenazas, el fraude con tarjetas regalo y de pago, que incluye tanto las tarjetas regalo de las empresas de tarjetas de crédito como las de los comercios, es generalizado y está evolucionando. Los delincuentes usan métodos cada vez más sofisticados para comprometer los portales de tarjetas regalo antes de convertirlas en dinero casi imposible de rastrear.

Esta edición de Cyber Signals profundiza en las tácticas, técnicas y procedimientos de un actor de amenaza del ciberdelito al que Microsoft llama Storm-0539, también conocido como Atlas Lion, y sus actividades en el ámbito del robo de tarjetas regalo, los entresijos de sus métodos y las implicaciones para particulares, empresas y el panorama de la ciberseguridad.

Storm-0539 ha mantenido su relevancia a lo largo de los años, adaptándose a un panorama delictivo en constante cambio. A través de una red laberíntica de canales cifrados y foros clandestinos, orquestan empresas ilícitas aprovechando las lagunas tecnológicas e implementando ingeniosas campañas de ingeniería social para escalar sus operaciones.

Aunque muchos actores de amenazas del ciberdelito toman la ruta de menor resistencia para obtener beneficios rápidos y se centran en la escala, Storm-0539 muestra un enfoque silencioso y productivo en comprometer los sistemas y las transacciones de las tarjetas regalo. Este adversario tiene como objetivo implacable a los emisores de tarjetas regalo, adaptando las técnicas para seguir el ritmo de los cambios en el comercio minorista, los pagos y otros sectores relacionados.

Todos somos defensores.

Históricamente, Storm-0539 aumenta su actividad de ataque antes de las grandes temporadas de vacaciones. Entre marzo y mayo de 2024, antes de las vacaciones de verano, Microsoft observó un aumento del 30 % en la actividad de intrusión de Storm-0539. Entre septiembre y diciembre de 2023, observamos un aumento del 60 % en la actividad de ataque, coincidiendo con las vacaciones de otoño e invierno.

  • Aumento del 30 % de la actividad de intrusión de Storm-0539, entre marzo y mayo de 2024
  • Aumento del 60 % de la actividad de intrusión de Storm-0539, entre septiembre y diciembre de 2024

Los atacantes perfeccionan los robos de tarjetas regalo y de pago

Storm-0539 opera desde Marruecos y está implicado en delitos financieros como el fraude con tarjetas regalo. Sus técnicas incluyen la suplantación de identidad, la suplantación de identidad con SMS (smishing), el registro de sus propios dispositivos en los entornos de las víctimas para obtener acceso de forma persistente, y el aprovechamiento del acceso para atacar a organizaciones de terceros. Registran dispositivos para que las indicaciones de autenticación multifactor (MFA) asociadas a la cuenta de una víctima comprometida vayan al dispositivo del atacante. Registrar un dispositivo les permite comprometer totalmente una identidad y persistir en el entorno de la nube. 

Activo desde finales de 2021, este grupo del ciberdelito representa una evolución de actores de amenaza centrados en atacar cuentas y sistemas de tarjetas de pago. En el pasado, los atacantes solían comprometer los datos de las tarjetas de pago con malware de punto de venta (TPV). Sin embargo, a medida que las industrias endurecían las defensas de los puntos de venta, Storm-0539 adaptó sus técnicas de ataque para comprometer los servicios en la nube y de identidad en el objetivo delictivo de los portales de tarjetas regalo vinculados a grandes distribuidores, marcas de lujo y conocidos restaurantes de comida rápida.

Históricamente, el fraude con tarjetas de pago y regalo se asocia a sofisticadas campañas de malware y phishing. Sin embargo, este grupo aprovecha su profundo conocimiento de la nube para realizar un reconocimiento de los procesos de emisión de tarjetas regalo de una organización, los portales de tarjetas regalo y los empleados con acceso a las tarjetas regalo.

Normalmente, la cadena de ataque incluye las siguientes acciones:
  • Usando directorios y programaciones de empleados, listas de contactos y buzones de correo electrónico, Storm-0539 ataca a los teléfonos móviles personales y de trabajo de los empleados con textos de smishing. 
  • Una vez infiltrada una cuenta de empleado en una organización objetivo, los atacantes se mueven lateralmente por la red, intentando identificar el proceso de negocio de la tarjeta regalo, pivotando hacia las cuentas comprometidas vinculadas a esta cartera específica. 
  • También recopilan información sobre máquinas virtuales, conexiones VPN, recursos de SharePoint y OneDrive, así como de Salesforce, Citrix y otros entornos remotos. 
  • Tras obtener acceso, el grupo crea nuevas tarjetas regalo usando cuentas de empleados comprometidas. 
  • Después canjean el valor asociado a esas tarjetas, venden las tarjetas regalo a otros actores de amenaza en mercados negros o usan mulas de dinero para cobrar las tarjetas regalo.
Imagen que muestra dos teléfonos con mensajes de suplantación de identidad con SMS (smishing) de Storm-0539 haciéndose pasar por el servicio de asistencia de la empresa de un empleado objetivo.
Mensajes de suplantación de identidad con SMS (smishing) de Storm-0539 haciéndose pasar por el servicio de asistencia de la empresa de un empleado objetivo.

El reconocimiento y la capacidad de Storm-0539 para aprovechar los entornos en la nube son similares a lo que Microsoft observa en los actores de amenazas patrocinados por el estado nación, lo que muestra cómo las técnicas popularizadas por el espionaje y los adversarios centrados en la geopolítica están influyendo ahora en los delincuentes con motivaciones financieras.

Por ejemplo, Storm-0539 aprovecha su conocimiento del software basado en la nube, los sistemas de identidad y los privilegios de acceso para atacar el lugar donde se crean las tarjetas regalo, en lugar de centrarse únicamente en el usuario final. Esta actividad es una tendencia que estamos observando entre grupos no pertenecientes a un estado nación, como Octo Tempest y Storm-0539, que están bien versados tácticamente en los recursos de la nube, de forma muy parecida a los actores avanzados patrocinados por el estado.

Para camuflarse y pasar desapercibidos, Storm-0539 se presenta como organizaciones legítimas ante los proveedores de la nube, con el fin de obtener aplicaciones temporales, almacenamiento y otros recursos iniciales gratuitos para su actividad de ataque.

Como parte de este esfuerzo, crean sitios web que se hacen pasar por organizaciones benéficas, refugios de animales y otras organizaciones sin ánimo de lucro en Estados Unidos, normalmente con typosquatting, una práctica engañosa en la que los individuos registran como propia una mala grafía común del dominio de una organización para engañar a los usuarios para que visiten sitios fraudulentos y escriban información personal o credenciales profesionales.

Para expandir aún más su kit de herramientas contra el fraude, Microsoft ha observado que Storm-0539 descarga copias legítimas de cartas 501(c)(3) emitidas por el Servicio de Impuestos Internos (IRS) desde los sitios web públicos de organizaciones sin ánimo de lucro. Armados con una copia de una carta 501(c)(3) legítima y un dominio coincidente que suplanta a la organización sin ánimo de lucro para la que se emitió la carta, se dirigen a los principales proveedores de la nube para obtener servicios tecnológicos patrocinados o con descuentos que suelen concederse a las organizaciones sin ánimo de lucro.

Infografía sobre cómo opera Storm-0539.
Storm-0539 opera a partir de pruebas gratuitas, suscripciones de pago por uso y recursos comprometidos en la nube. También observamos que Storm-0539 se hacía pasar por organizaciones sin ánimo de lucro legítimas para obtener patrocinio sin ánimo de lucro de varios proveedores de servicios en la nube.

El grupo también crea pruebas gratuitas o cuentas para estudiantes en plataformas de servicios en la nube que suelen proporcionar a los nuevos clientes 30 días de acceso. Dentro de estas cuentas crean máquinas virtuales desde las que inician sus operaciones objetivo. Las aptitudes de Storm-0539 para comprometer y crear infraestructuras de ataque basadas en la nube les permiten evitar los costes iniciales habituales en la economía del ciberdelito, como el pago de hosts y servidores, ya que buscan minimizar costes y maximizar la eficacia.

Microsoft estima que Storm-0539 lleva a cabo un amplio reconocimiento de los proveedores de servicios de identidades federadas en las empresas de destino para imitar de forma convincente la experiencia de inicio de sesión del usuario, incluyendo no solo la aparición de la página adversary-in-the-middle (AiTM), sino también el uso de dominios registrados que se asemejan mucho a los servicios legítimos. En otros casos, Storm-0539 ha comprometido dominios legítimos de WordPress registrados recientemente para crear la página de aterrizaje de AiTM.

Recomendaciones

  • Protección de tokens y acceso a privilegios mínimos: Usa directivas para protegerte de los ataques de repetición de token enlazando el token al dispositivo del usuario legítimo. Aplica los principios de acceso con privilegios mínimos en toda la pila tecnológica para minimizar el impacto potencial de un ataque.
  • Adopta una plataforma segura de tarjetas regalo e implementa soluciones de protección contra el fraude: Considera cambiar a un sistema diseñado para autentificar los pagos. Los comercios también pueden integrar características de protección contra el fraude para minimizar las pérdidas.
  • MFA resistente al phishing: Transición a credenciales resistentes al phishing e inmunes a diversos ataques, como las claves de seguridad FIDO2.
  • Requerir un cambio seguro de contraseña cuando el nivel de riesgo del usuario sea alto: La MFA de Microsoft Entra es necesaria antes de que el usuario pueda crear una nueva contraseña con escritura diferida de contraseñas para corregir su riesgo.
  • Educar a los empleados: Los comerciantes deberían formar a sus empleados para que reconozcan los posibles fraudes con tarjetas regalo y rechacen los pedidos sospechosos.

Capear el temporal: Defensa contra storm-0539

Las tarjetas regalo son un objetivo atractivo para el fraude porque, a diferencia de las tarjetas de crédito o débito, no llevan asociados nombres de clientes ni cuentas bancarias. Microsoft observa un repunte de la actividad de Storm-0539 centrada en este sector en torno a los periodos vacacionales estacionales. El Día de los Caídos, el Día del Trabajo y el Día de Acción de Gracias en EE. UU., así como el Viernes Negro y las vacaciones de invierno observadas en todo el mundo, tienden a asociarse con una mayor actividad del grupo.

Normalmente, las organizaciones establecen un límite en el valor en efectivo que puede emitirse para una tarjeta regalo individual. Por ejemplo, si ese límite es de 100 000 USD, el actor de amenaza emitirá una tarjeta por 99 000 USD, después se enviará a sí mismo el código de la tarjeta regalo y lo monetizará. Su principal motivación es robar tarjetas regalo y lucrarse vendiéndolas online con descuento. Hemos visto algunos ejemplos en los que el actor de amenaza ha robado hasta 100 000 USD al día en determinadas empresas.

Para defenderse de estos ataques e impedir que este grupo acceda sin autorización a los departamentos de tarjetas regalo, las empresas que emiten tarjetas regalo deben tratar sus portales de tarjetas regalo como objetivos de alto valor. Deberían ser supervisados de cerca y auditados continuamente para detectar cualquier actividad anómala.

Para cualquier organización que cree o emita tarjetas regalo, implementar controles y equilibrios para evitar el acceso rápido a los portales de tarjetas regalo y otros objetivos de alto valor, incluso si una cuenta está comprometida, puede ser de ayuda. Supervisa continuamente los registros para identificar inicios de sesión sospechosos y otros vectores comunes de acceso inicial que se basen en compromisos de identidad en la nube, e implementa directivas de acceso condicional que limiten los inicios de sesión y marquen los inicios de sesión de riesgo.

Las organizaciones también deberían plantearse complementar la MFA con directivas de acceso condicional en las que las solicitudes de autenticación se evalúen utilizando señales adicionales basadas en la identidad, como información sobre la ubicación de la dirección IP o el estado del dispositivo, entre otras.

Otra táctica que podría ayudar a frenar estos ataques es un proceso de verificación del cliente para comprar dominios. Es posible que las normativas y directivas de los proveedores no impidan sistemáticamente el typosquatting malicioso en todo el mundo, lo que significa que estos sitios web engañosos pueden seguir siendo populares para escalar los ciberataques. Los procesos de verificación para la creación de dominios podrían ayudar a frenar la creación de más sitios con el único fin de engañar a las víctimas.

Además de nombres de dominio engañosos, Microsoft también ha observado que Storm-0539 utiliza listas de correo internas legítimas de la empresa para difundir mensajes de phishing una vez que se afianzan en una empresa y comprenden sus listas de distribución y otras normas empresariales.

El phishing a través de una lista de distribución válida no solo agrega otra capa de autenticidad al contenido malicioso, sino que también ayuda a perfeccionar el alcance del contenido a más personas con acceso a credenciales, relaciones e información en la que se basa Storm-0539 para conseguir persistencia y alcance.

Cuando los usuarios hacen clic en los vínculos contenidos en los correos electrónicos o textos de phishing, se les redirige a una página de phishing de AiTM para el robo de credenciales y la captura del token de autenticación secundario. Se anima a los distribuidores a que enseñen al personal cómo funcionan las estafas de smishing/phishing, cómo identificarlas y cómo informar sobre ellas.

Es importante destacar que, a diferencia de los ruidosos actores de amenazas de ransomware que cifran y roban datos y después te acosan para que pagues, Storm-0539 se mueve sigilosamente en un entorno de nube recopilando información de reconocimiento y abusando de la nube y de la infraestructura de identidad para lograr sus objetivos finales.

Las operaciones de Storm-0539 son persuasivas debido a que el actor usa correos electrónicos legítimos comprometidos y se hace pasar por plataformas legítimas usadas por la empresa objetivo. Para algunas empresas, las pérdidas de tarjetas regalo son recuperables. Esto requiere una investigación exhaustiva para determinar qué tarjetas regalo emitió el actor de amenaza.

Inteligencia contra amenazas Microsoft ha emitido notificaciones a las organizaciones afectadas por Storm-0539. En parte gracias a este intercambio de información y a la colaboración, en los últimos meses hemos observado un aumento de la capacidad de los grandes distribuidores para protegerse eficazmente de la actividad de Storm-0539.

Una infografía que muestra el ciclo de vida de la intrusión Storm-0539, empezando por "Phishing/ suplantación de identidad con SMS (smishing)", seguido de "Acceso a recursos en la nube", "Impacto ( filtración de datos y robo de tarjetas regalo)" e "Información para futuros ataques". "Identidad" permanece en el centro del gráfico.
Ciclo de vida de la intrusión Storm-0539.

Recomendaciones

  • Reestablece las contraseñas de los usuarios asociados a actividades de phishing y AiTM: Para revocar las sesiones activas, restablece inmediatamente las contraseñas. Revoca cualquier cambio en la configuración de MFA realizado por el atacante en las cuentas comprometidas. Exige, de manera predeterminada, la reintroducción de MFA para las actualizaciones de MFA. Además, asegúrate de que los dispositivos móviles que los empleados usan para acceder a las redes corporativas están protegidos de forma similar.
  • Habilita la purga automática (ZAP) en Microsoft Defender para Office 365: ZAP encuentra y emprende acciones automatizadas en los correos electrónicos que forman parte de la campaña de phishing basándose en elementos idénticos de mensajes maliciosos conocidos.
  • Actualiza las identidades, los privilegios de acceso y las listas de distribución para minimizar las superficies expuestas a ataques: Los atacantes como Storm-0539 asumen que encontrarán usuarios con privilegios de acceso excesivos que pueden comprometer para obtener un impacto desmesurado. Los roles de los empleados y el equipo pueden cambiar con frecuencia. Establecer una revisión periódica de los privilegios, la pertenencia a listas de distribución y otros atributos puede ayudar a limitar las consecuencias de una intrusión inicial y dificultar el trabajo de los intrusos.

Más información sobre Storm-0539 y los expertos en Inteligencia sobre amenazas Microsoft dedicados a supervisar el ciberdelito y las amenazas más recientes.

Metodología: Los datos de instantáneas y estadísticas de cobertura representan un aumento de las notificaciones y observaciones de nuestros clientes sobre el actor de amenaza Storm-0539. Estas cifras reflejan un aumento del personal y de los recursos dedicados a la supervisión de este grupo. Azure Active Directory proporcionó datos anonimizados sobre la actividad de las amenazas, como cuentas de correo electrónico maliciosas, correos electrónicos de phishing y movimientos de los atacantes dentro de las redes. Las conclusiones adicionales proceden de los 78 billones de señales de seguridad diarias procesadas por Microsoft cada día, incluyendo la nube, los puntos de conexión, el perímetro inteligente y la telemetría de las plataformas y servicios de Microsoft, incluido Microsoft Defender.

Cyber Signal Phishing Actores de amenazas

Artículos relacionados

Conocer a los expertos que realizan un seguimiento del fraude de tarjetas regalo de Storm-0539

Con experiencia en relaciones internacionales, fuerzas del orden federales, seguridad y administración pública, los analistas de Inteligencia contra amenazas Microsoft Alison Ali, Waymon Ho y Emiel Haeghebaert ofrecen una amplia gama de habilidades exclusivas para realizar un seguimiento de Storm-0539, un actor de amenaza especializado en el robo de tarjetas de pago y el fraude de tarjetas regalo.
Más información

Aprovechar la economía de confianza: el fraude de la ingeniería social

Explora un entorno digital en evolución donde la confianza es una moneda de cambio y una vulnerabilidad. Descubra las tácticas de fraude mediante ingeniería social que usan más los ciberatacantes y revise las estrategias que pueden ayudarle a identificar y evitar las amenazas de ingeniería social diseñadas para manipular la naturaleza humana.
Más información

Las tácticas de desplazamiento impulsan un aumento en el compromiso de correo empresarial

El compromiso de correo empresarial (BEC) está en alza, ya que los cibercriminales pueden ocultar el origen de los ataques para que sean aún más nefastos. Obtenga información sobre CaaS y cómo ayudar a proteger su organización.
Más información

Seguir a Seguridad de Microsoft