Dapatkan wawasan langsung dari para ahli di Microsoft Threat Intelligence Podcast. Dengarkan sekarang.
Mendisrupsi layanan gateway ke kejahatan cyber
Storm-1152 memainkan peran signifikan di ekosistem yang terspesialisasi khusus dalam kejahatan cyber sebagai layanan. Penjahat cyber membutuhkan akun penipuan untuk mendukung aktivitas kriminal mereka yang sangat terautomasi. Dengan adanya perusahaan yang bisa mengidentifikasi dan mematikan akun penipuan secara cepat, para penjahat memerlukan lebih banyak akun untuk menghindari upaya mitigasi. Penjahat cyber tidak akan menghabiskan waktu untuk menciptakan ribuan akun penipuan, tetapi mereka cukup membelinya dari Storm-1152 dan kelompok lain. Dengan ini para penjahat dapat memfokuskan upaya mereka pada sasaran utama, yaitu pengelabuan, spam, ransomware, serta tipe penipuan dan penyalahgunaan lainnya. Storm-1152 dan kelompok seperti mereka membuat banyak penjahat cyber mampu menyelenggarakan aktivitas berbahaya dengan lebih efektif dan efisien.
Microsoft Threat Intelligence sudah mengidentifikasi lebih dari satu kelompok yang terlibat di dalam ransomware, pencurian data, dan pemerasan yang telah menggunakan akun Storm-1152. Contohnya, Octo Tempest, dikenal juga dengan Scattered Spider, memperoleh akun penipuan Microsoft dari Storm-1152. Octo Tempest adalah kelompok kejahatan cyber tangguh bermotif finansial yang memanfaatkan kampanye rekayasa sosial berskala luas untuk meretas organisasi di seluruh dunia dengan tujuan pemerasan finansial. Microsoft terus melacak lebih dari satu aktor ransomware atau ancaman pemerasan lain yang telah membeli akun penipuan dari Storm-1152 untuk meningkatkan serangan mereka, termasuk Storm-0252 dan Storm-0455.
Pada hari Kamis, 7 Desember, Microsoft menerima perintah pengadilan dari Distrik Selatan New York untuk menyita infrastruktur berbasis A.S. dan mengambil situs web offline yang digunakan oleh Storm-1152 untuk mencelakai pelanggan Microsoft. Walaupun kasus kami berfokus pada akun penipuan Microsoft, situs web yang terkena dampak juga menjual layanan untuk menembus langkah pengamanan di platform teknologi ternama lainnya. Dengan demikian, tindakan saat ini memberikan dampak yang lebih luas dan keuntungan untuk pengguna di luar Microsoft. Secara spesifik, Unit Kejahatan Digital Microsoft (Digital Crimes Unit/DCU) mendisrupsi:
- Hotmailbox.me, sebuah situs web yang menjual akun penipuan Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA, dan NoneCAPTCHA, situs web yang memfasilitasi perkakas, infrastruktur, dan penjualan layanan penyelesaian CAPTCHA untuk menembus konfirmasi penggunaan dan penyiapan akun oleh orang nyata. Situs ini menjual alat penembus verifikasi identitas untuk platform teknologi ternama lainnya.
- Dahulu,situs media sosial secara aktif memasarkan layanan ini.
Microsoft berkomitmen untuk menyediakan pengalaman digital yang aman untuk setiap orang dan organisasi di muka bumi. Kami bekerja bahu-membahu dengan Arkose Labs untuk menyebarkan solusi pertahanan CAPTCHA generasi berikutnya. Solusi ini memerlukan semua calon pengguna yang ingin membuka akun Microsoft untuk merepresentasikan bahwa mereka adalah manusia (bukan bot) dan memverifikasi keakuratan representasi tersebut dengan menyelesaikan berbagai tipe tantangan.
Seperti dituturkan oleh CEO dan pendiri Arkose Labs, Kevin Gosschalk: “Storm-1152 merupakan musuh yang ditakuti, yang didirikan semata untuk tujuan menghasilkan uang dengan cara mendukung lawan melakukan serangan rumit. Kelompok ini bisa dikenali lewat fakta bahwa mereka membangun bisnis CaaS secara terbuka dan bukan di web gelap. Storm-1152 beroperasi layaknya bisnis internet dengan finansial sehat, menyediakan pelatihan untuk alat mereka, dan bahkan menawarkan layanan pelanggan lengkap. Pada kenyataannya, Storm-1152 adalah gateway yang membuka jalan ke penipuan berbahaya.”
Aktivitas Storm-1152 bukan hanya melanggar ketentuan layanan Microsoft dengan menjual akun penipuan Microsoft, tetapi mereka juga dengan sengaja ingin mencelakai pelanggan Arkose Labs dan menipu korban dengan berpura-pura menjadi pengguna sah dalam rangka mencoba menembus langkah-langkah pengamanan.
Analisis kami mengenai aktivitas Storm-1152 meliputi deteksi, analisis, telemetri, pembelian tes rahasia, dan rekayasa balik untuk menunjukkan infrastruktur berbahaya yang diselenggarakan di Amerika Serikat. Microsoft Threat Intelligence dan unit Riset Kecerdasan Ancaman Cyber (ACTIR) Arkose memberikan data dan wawasan tambahan untuk memperkuat kasus hukum kami.
Sebagai bagian penyelidikan kami, kami dapat mengonfirmasi identitas aktor yang memimpin operasi Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (dikenal juga dengan nama Nguyễn Van Linh) dan Tai Van Nguyen – yang berbasis di Vietnam. Penemuan kami menunjukkan bahwa individu ini beroperasi dan menulis kode untuk situs web terlarang, menerbitkan instruksi langkah demi langkah mendetail tentang cara menggunakan produk mereka lewat tutorial video, dan menyediakan layanan obrolan untuk membantu orang yang menggunakan layanan penipuan mereka.
Semenjak itu, Microsoft telah menyerahkan rujukan kriminal pada penegak hukum A.S. Kami berterima kasih atas kemitraan kami dengan para penegak hukum yang dapat mengadili orang-orang yang ingin mencelakai pelanggan kami.
Tindakan saat ini merupakan kesinambungan strategi Microsoft dalam menyasar ekosistem penjahat cyber yang lebih luas dan menarget alat yang mereka gunakan untuk meluncurkan serangan. Hal ini dibangun berdasarkan ekspansi metode hukum yang berhasil digunakan untuk mendisrupsi program jahat dan operasi negara-bangsa. Kami juga telah bermitra dengan organisasi lain di seluruh industri untuk meningkatkan pembagian inteligensi terkait penipuan, serta semakin menyempurnakan kecerdasan buatan dan algoritma pembelajaran mesin kami yang dapat mendeteksi dan menandai akun penipuan dengan cepat.
Seperti kami katakan sebelumnya, tidak ada disrupsi yang dapat diselesaikan di dalam satu hari. Mengejar kejahatan cyber membutuhkan ketelatenan dan kesiagaan menerus untuk mendisrupsi infrastruktur berbahaya baru. Walaupun tindakan hukum saat ini akan memengaruhi operasi Storm-1152, kami memperkirakan bahwa ini akan mengakibatkan aktor ancaman lainnya mengadaptasi teknik mereka. Kolaborasi menerus sektor publik dan privat, seperti terlaksana saat ini bersama Arkose Labs dan penegak hukum A.S., tetap menjadi hal esensial jika kita ingin memberikan pelajaran terkait dampak kejahatan cyber.
Ikuti Microsoft