Trace Id is missing

Medidas audaces contra el fraude: Interrumpir Storm-1152

Compartir
Una colorida variedad de círculos con varios iconos.

Información general

En marzo de 2023, un importante cliente de Microsoft experimentó una serie de ciberataques de spam que provocaron interrupciones en el sistema del cliente.

¿La causa? Un aluvión de cuentas de Microsoft Outlook y Hotmail creadas de manera fraudulenta que buscaban cosechar los beneficios de los servicios del cliente proporcionados como pruebas de prueba a posibles usuarios, a pesar de que estas cuentas falsas no tenían intención de pagar por esos servicios. Como resultado, el cliente bloqueó todas las nuevas inscripciones de cuentas de Microsoft Outlook y direcciones de Hotmail.

De hecho, lo que estaba detrás de este ataque era una empresa fraudulenta más grande con sede en Vietnam, un grupo que Microsoft llama Storm-1152.

Storm-1152 gestiona sitios web y páginas de redes sociales ilícitas en las que vende cuentas fraudulentas de Microsoft y herramientas para eludir el software de verificación de identidad en conocidas plataformas tecnológicas. Los servicios de Storm-1152 actúan como puerta de enlace al ciberdelito al reducir el tiempo y el esfuerzo necesarios para que los delincuentes lleven a cabo una serie de conductas delictivas y abusivas en línea. En total, el grupo creó para su venta aproximadamente 750 millones de cuentas fraudulentas de Microsoft, lo que ha reportado al grupo millones de dólares en ingresos ilícitos y ha supuesto a las empresas un coste aún mayor para combatir su actividad delictiva.

Resulta que varios grupos estaban utilizando las cuentas de Storm-1152 para participar en ransomware, robo de datos y extorsión, incluyendo​ Octo Tempest, Storm-0252, Storm-0455 y otros. Su negocio de ventas de cuentas lo convirtió en uno de los mayores proveedores de cibercrimen como servicio en línea.

Microsoft había estado rastreando el aumento de esta actividad maliciosa desde 2022, aumentando el uso de algoritmos de aprendizaje automático para prevenir y detectar patrones observados para la creación de estas cuentas fraudulentas. Sin embargo, la primavera de 2023 marcó un punto de inflexión debido al creciente abuso de las plataformas de Microsoft y sus socios. Se requirió una acción más agresiva y se formó un equipo multifuncional en Microsoft y con nuestro socio Arkose Labs.

Inmediatamente después de la acción, observamos una disminución aproximada del 60 % en el tráfico de registro. Esta disminución coincide estrechamente con el 60 % o más de las suscripciones que nuestros algoritmos o socios identificaron posteriormente como abusivas y que posteriormente suspendimos de los servicios de Microsoft. 

El esfuerzo coordinado dio como resultado que la Unidad de Delitos Digitales (DCU) de Microsoft tomara la primera acción legal en diciembre de 2023 para incautar y cerrar los sitios web que Storm-1152 utilizaba para vender sus servicios. Inmediatamente después de la acción, observamos una disminución aproximada del 60 % en el tráfico de registro. Esta disminución coincide estrechamente con el 60 % o más de las suscripciones que nuestros algoritmos o socios identificaron posteriormente como abusivas y que posteriormente suspendimos de los servicios de Microsoft. El 23 de julio, presentamos una segunda demanda civil para interrumpir la nueva infraestructura que el grupo había intentado establecer después de nuestra demanda de diciembre.

Este informe de amenazas emergentes explica entre bastidores cómo se desarrolló la acción y destaca la importancia de colaborar en toda la industria para perseguir las amenazas cibernéticas. El caso es un ejemplo de cómo la industria puede utilizar los canales legales para ayudar a disuadir a otros grupos y mantener a las personas seguras en línea. También habla de la importancia de las interrupciones continuas y de cómo las acciones legales siguen siendo un método eficaz contra los ciberdelincuentes, incluso cuando cambian sus tácticas. Al final del día, ninguna operación se completa a la primera.

El descubrimiento e identificación de Storm-1152

En febrero de 2023, Matthew Mesa, investigador sénior de seguridad en el Centro de Inteligencia de Amenazas (MSTIC) de Microsoft, observó un patrón creciente de cuentas de Microsoft Outlook que se utilizaban en campañas masivas de phishing. En su función, Mesa analiza las campañas de correo electrónico y busca actividades sospechosas. A medida que continuaba viendo un aumento en el uso de cuentas fraudulentas, se preguntó: "¿podrían todas estas cuentas estar relacionadas entre sí?"

Inmediatamente creó un nuevo perfil de actor de amenazas, Storm-1152, y comenzó a rastrear su actividad y señaló sus hallazgos al equipo de identidad de Microsoft. Shinesa Cambric, Gerente Principal de Producto del Equipo de Defensa Anti-Abuso y Fraude de Microsoft, también había estado rastreando esta actividad maliciosa y había notado un aumento de cuentas automatizadas (bots) que intentaban vencer los desafíos de CAPTCHA utilizados para proteger el proceso de registro para los servicios al consumidor de Microsoft.​

"Mi equipo se centra tanto en la experiencia del consumidor como en la experiencia empresarial, lo que significa que estamos protegiendo miles de millones de cuentas cada día contra el fraude y el abuso", explica Cambric. "Nuestro papel es comprender las metodologías de los actores de amenazas para que podamos eludir los ataques y evitar el acceso a nuestros sistemas. Siempre estamos pensando en la prevención, en cómo podemos detener a los malos actores en la puerta principal".

Lo que le llamó la atención fue el creciente nivel de fraude relacionado con la actividad. Cuando varias partes (socios de Microsoft y partes de nuestra cadena de suministro) se pusieron en contacto para informar del daño resultante de estas cuentas de Microsoft creadas por bots, Cambric entró en acción.

Junto con el proveedor de defensa de ciberseguridad y gestión de bots Arkose Labs, el equipo de Cambric trabajó para identificar y deshabilitar las cuentas fraudulentas del grupo, y compartió detalles de su trabajo con colegas de inteligencia de amenazas en MSTIC de Microsoft y la unidad de investigación de inteligencia de amenazas cibernéticas de Arkose (ACTIR).

"Nuestro papel es comprender las metodologías de los actores de amenazas para que podamos eludir los ataques y evitar el acceso a nuestros sistemas. Siempre estamos pensando en la prevención, en cómo podemos detener a los malos actores en la puerta principal". 
Shinesa Cambric 
Gerenta Principal de Producto, Equipo de Defensa contra Abuso y Fraude, Microsoft 

"Inicialmente, nuestro papel era proteger a Microsoft de la creación de cuentas maliciosas", explica el director de clientes de Arkose Labs, Patrice Boffa, "pero una vez que se identificó a Storm-1152 como grupo, también comenzamos a recopilar gran parte de la inteligencia de amenazas".

Comprensión de Storm-1152

Como grupo motivado financieramente en desarrollo, Storm-1152 se destacó por estar inusualmente bien organizado y profesional con sus ofertas de cibercrimen como servicio (CaaS). Operando como una empresa legítima, Storm-1152 ejecutó su servicio ilícito de resolución de CAPTCHA a plena luz del día.

"Si no sabías que se trataba de una organización maliciosa, podías compararla con cualquier otra empresa de SaaS", 
Patrice Boffa
Director de Atención al Cliente, Arkose Labs

"Si no sabías que se trataba de una organización maliciosa, podías compararla con cualquier otra empresa de SaaS", dice Boffa, y añade que la AnyCAPTCHA.com de Storm-1152 tenía un sitio web público, aceptaba pagos con criptomonedas a través de PayPal e incluso ofrecía un canal de soporte.

Este servicio utilizaba bots para recolectar tokens CAPTCHA a granel, que se vendían a los clientes, que luego utilizaban los tokens para fines indebidos (como la creación masiva de cuentas de Microsoft fraudulentas para su posterior uso en ciberataques) antes de que caduquen. Los intentos de configurar cuentas fraudulentas estaban ocurriendo con tal rapidez y eficiencia que el equipo de Arkose Labs concluyó que el grupo estaba utilizando tecnología de aprendizaje automático automatizado. 

"Cuando experimentamos el ritmo de su adaptación a nuestros esfuerzos de mitigación, nos dimos cuenta de que muchos de sus ataques estaban basados en IA", dijo Boffa. "En comparación con otros adversarios que hemos visto, Storm-1152 utilizó la IA de formas innovadoras". Los equipos de Arkose Labs y Microsoft pudieron observar un cambio en las tácticas comerciales como una forma de adaptarse al aumento de los esfuerzos de detección y prevención.

Inicialmente, Storm-1152 se centró en proporcionar servicios para que los delincuentes eludieran las defensas de seguridad de otras empresas tecnológicas, siendo ​Microsoft​ la mayor víctima. Storm-1152 ofrecía servicios para eludir​​ las defensas y crear cuentas fraudulentas, y luego ofreció un nuevo servicio después de detectar la detección. En lugar de proporcionar herramientas para eludir las defensas de creación de cuentas, el grupo dio un giro utilizando sus propios tokens de derrota de CAPTCHA recolectados por bots para crear cuentas de Microsoft fraudulentas para la reventa.

"Lo que observamos con Storm-1152 es típico", dice Boffa. Cada vez que atrapas a un actor de amenazas, intenta otra cosa. Mantenerse por delante de ellos es un juego del gato y el ratón".

Construyendo un caso legal contra Storm-1152

Cuando la actividad fraudulenta alcanzó un punto de ebullición en marzo de 2023, Cambric y Mesa se pusieron en contacto con la Unidad de Delitos Digitales (DCU) de Microsoft para ver qué más se podía hacer.

Como brazo de aplicación externo de Microsoft, DCU generalmente persigue solo a los actores más serios o persistentes. Se centra en la disrupción, es decir, en el aumento del coste de hacer negocios, para lo cual las referencias penales y/o las demandas civiles son herramientas principales.

Sean Farrell, Abogado Principal del equipo de Ejecución de Delitos Cibernéticos en la DCU de Microsoft, Jason Lyons, Gerente Principal de Investigaciones en el Equipo de Aplicación de Delitos Cibernéticos de DCU en Microsoft y el Investigador Cibernético Senior Maurice Mason se reunieron para investigar más a fondo. Se coordinaron con el abogado externo de Microsoft para diseñar una estrategia legal y reunieron las pruebas necesarias para presentar una acción civil, extrayendo información de varios equipos de Microsoft y de la inteligencia de amenazas que Arkose Labs estaba recopilando.

"Ya se había hecho mucho trabajo cuando el DCU se involucró", recuerda Lyons. "El equipo de identidad y Arkose Labs ya habían realizado un trabajo significativo en la identificación y desactivación de cuentas, y debido a que MSTIC pudo vincular las cuentas fraudulentas a ciertos niveles de infraestructura, pensamos que este sería un buen caso legal de DCU".

Algunos de los factores que contribuyen a la formación de un caso que vale la pena perseguir incluyen tener leyes que se puedan usar en una acción civil, tener jurisdicción y la voluntad de la empresa de nombrar públicamente a las personas.

Lyons comparó la consideración de estos factores con un proceso de triaje, en el que la DCU examinó los hechos y la información para ayudar a determinar si todo era un buen caso. "En función de lo que hacemos, nos preguntamos si queremos dedicar nuestro tiempo y energía a actuar", dice. "¿Valdrá la pena el impacto por los recursos que tenemos que poner allí?" La respuesta en este caso fue sí.

Mason se encargó de trabajar en la atribución de las actividades de cibercrimen como servicio de Storm-1152. "Mi función consistía en rastrear cómo Storm-1152 vendía estas cuentas fraudulentas a otros grupos de actores de amenazas e identificar a las personas detrás de Storm-1152", explica Mason.

A través de su trabajo de investigación, que incluyó una revisión profunda de las páginas de redes sociales y los identificadores de pago, Microsoft y Arkose Labs pudieron identificar a las personas detrás de Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (también conocido como Nguyễn Van Linh) y Tai Van Nguyen.

Sus hallazgos muestran que estos individuos operaban y escribían el código de los sitios web ilícitos, publicaban instrucciones detalladas paso a paso sobre cómo utilizar sus productos a través de videotutoriales y ofrecían servicios de chat para ayudar a quienes utilizaban sus servicios fraudulentos. A continuación, se realizaron conexiones adicionales a la infraestructura técnica del grupo, que el equipo pudo identificar con los hosts con sede en Estados Unidos.

"Una de las razones por las que llevamos a cabo estas acciones en DCU es para disuadir el impacto de estos ciberdelincuentes. Hacemos esto mediante la presentación de demandas o proporcionando referencias penales que conducen a arrestos y enjuiciamientos".
Sean Farrell 
Abogado Principal del Equipo de Aplicación de la Ley de Delitos Cibernéticos; Microsoft

Al describir la decisión de seguir adelante con el caso, Farrell dice: "Aquí fuimos afortunados debido al gran trabajo de los equipos, que habían identificado a los actores que habían establecido la infraestructura y los servicios criminales.

Una de las razones por las que llevamos a cabo estas acciones en DCU es para disuadir el impacto de estos ciberdelincuentes. Hacemos esto mediante la presentación de demandas o proporcionando referencias penales que conducen a arrestos y enjuiciamientos. Creo que envía un mensaje muy fuerte cuando puedes identificar a los actores e identificarlos públicamente en los alegatos legales en los Estados Unidos".​​

Storm-1152 resurge y una segunda acción legal​

Si bien el equipo experimentó una caída inmediata en la infraestructura tras la interrupción de diciembre de 2023, Storm-1152 resurgió lanzando un nuevo sitio llamado RockCAPTCHA y nuevos vídeos instructivos para ayudar a sus clientes. RockCAPTCHA se dirigió a Microsoft al ofrecer servicios diseñados específicamente para tratar de vencer las medidas de seguridad CAPTCHA de Arkose Labs. La acción de julio permitió a Microsoft tomar el control de este sitio web y enviar otro golpe a los actores.

La unidad de Investigación de Inteligencia de Amenazas Cibernéticas de Arkose (ACTIR) también analizó más de cerca cómo Storm-1152 intentaba reconstruir sus servicios. Observaron que el grupo utilizaba tácticas más sofisticadas, como intensificar su influencia en la inteligencia artificial (IA), para ofuscar su actividad y evadir la detección. Este resurgimiento es indicativo de los cambios que se están produciendo en el panorama de las amenazas y demuestra las capacidades avanzadas de los atacantes bien versados en tecnologías de IA. 

Una de las principales áreas en las que Storm-1152 ha integrado la IA es en las técnicas de evasión. Arkose Labs ha visto al grupo utilizar la IA para generar sintéticamente firmas similares a las humanas.

Vikas Shetty es el jefe de producto de Arkose Labs y dirige su unidad de investigación de amenazas, ACTIR. "El uso de modelos de IA permite a los atacantes entrenar sistemas que emiten estas firmas similares a las humanas, que luego se pueden usar a escala para los ataques", dijo Shetty. "La complejidad y variedad de estas firmas dificultan que los métodos de detección tradicionales se mantengan al día".

Además, Arkose Labs observó que Storm-1152 intentaba reclutar y emplear ingenieros de IA, incluidos estudiantes de maestría, candidatos a doctorado e incluso profesores en países como Vietnam y China.

"A estas personas se les paga para que desarrollen modelos avanzados de IA que puedan eludir sofisticadas medidas de seguridad. La experiencia de estos ingenieros de IA garantiza que los modelos no solo sean efectivos, sino también adaptables a la evolución de los protocolos de seguridad", dijo Shetty.

Permanecer persistente es clave para interrumpir de manera significativa las operaciones de los ciberdelincuentes, al igual que realizar un seguimiento de cómo operan los ciberdelincuentes y utilizan las nuevas tecnologías.

"Debemos seguir siendo persistentes y tomar medidas que dificulten que los delincuentes ganen dinero", dijo Farrell. "Es por eso que presentamos una segunda demanda para tomar el control de este nuevo dominio. Necesitamos enviar un mensaje de que no toleraremos actividades que busquen dañar a nuestros clientes e individuos en línea".

Lecciones aprendidas y consecuencias futuras

Reflexionando sobre el resultado de la investigación y la interrupción de Storm-1152, Farrell señala que el caso es importante no solo por su impacto para nosotros y las otras empresas afectadas, sino por el esfuerzo de Microsoft para escalar el impacto de estas operaciones, que son parte del ecosistema general de cibercrimen como servicio.

Un mensaje contundente para el público

"Demostrar que podríamos aplicar las palancas legales que hemos utilizado con tanta eficacia a los ataques de malware y a las operaciones de los estados-nación ha llevado a una importante mitigación o remediación de la actividad del actor, que se ha desplomado casi a cero durante bastante tiempo después de que presentamos la demanda", dice Farrell. "Creo que a partir de esto vimos que se puede tener una disuasión real, y el mensaje que el público extrae de eso es importante, no solo por el impacto, sino por el bien mayor de la comunidad en línea".

Nuevos vectores de acceso en la identidad

Otra observación importante ha sido un cambio general de los actores de amenazas que intentan comprometer los puntos finales, sino que persiguen las identidades.  Vemos que con la mayoría de los ataques de ransomware los actores de amenazas están aprovechando las identidades robadas o comprometidas como su vector de ataque inicial.
"Esta tendencia muestra cómo la identidad va a tomar el relevo como vector de acceso inicial para los próximos incidentes", dice Mason. "Es posible que los CISO quieran adoptar una postura más seria sobre la identidad al modelar para sus organizaciones: centrarse más en el lado de la identidad primero y luego pasar a los puntos finales".

La innovación continua es esencial

El resurgimiento de Storm-1152 y sus estrategias infundidas por IA subraya la naturaleza evolutiva de las amenazas cibernéticas. Su uso sofisticado de la IA tanto para la evasión como para la resolución de desafíos plantea desafíos significativos para las medidas de seguridad tradicionales. Las organizaciones deben adaptarse incorporando técnicas avanzadas de detección y mitigación impulsadas por IA para adelantarse a estas amenazas.
"El caso de Storm-1152 pone de manifiesto la necesidad crítica de una innovación continua en ciberseguridad para contrarrestar las tácticas sofisticadas empleadas por los atacantes expertos en IA", dice Shetty. "A medida que estos grupos continúan evolucionando, también deben hacerlo las defensas diseñadas para protegerse contra ellos".

Sabemos que seguiremos enfrentando nuevos desafíos de seguridad en los próximos días, pero somos optimistas sobre lo que hemos aprendido de esta acción. Como miembro de la comunidad de defensores, sabemos que trabajamos mejor juntos al servicio del bien común, y que la colaboración continua de los sectores público y privado sigue siendo esencial frente a la ciberdelincuencia.

Farrell dice: "La colaboración entre equipos de esta acción, que combina los esfuerzos de inteligencia de amenazas, protección de identidad, investigación, atribución, acción legal y asociaciones externas, es un modelo de cómo deberíamos operar".

Artículos relacionados

Interrumpir los servicios de puerta de enlace al ciberdelito

Microsoft, respaldado por la empresa de inteligencia sobre amenazas Arkose Labs, está tomando medidas técnicas y legales para impedir que Storm-1152, el principal vendedor y creador de cuentas fraudulentas de Microsoft siga actuando. Estamos observando, analizando y actuaremos para proteger a nuestros clientes.
Más información

Microsoft, Amazon y las fuerzas de seguridad internacionales se unen para luchar contra el fraude en el soporte técnico

Descubre cómo Microsoft y Amazon han unido sus fuerzas por primera vez en la historia para acabar con los centros ilegales de soporte técnico en toda la India.
Más información

La lucha contra los piratas informáticos que interrumpieron el funcionamiento de hospitales y pusieron vidas en peligro

Descubre lo que ocurre entre bastidores en una operación conjunta de Microsoft, el fabricante de software Fortra y Health-ISAC para interrumpir los servidores crackeados de Cobalt Strike y dificultar las operaciones de los ciberdelincuentes.
Más información

Seguir a Seguridad de Microsoft