Di Microsoft, kami terus mencari cara kreatif untuk melindungi orang-orang secara online, termasuk dengan tidak menoleransi mereka yang membuat tiruan penipuan produk kami untuk mencelakakan orang lain. Akun penipuan online bertindak sebagai gateway untuk banyak kejahatan cyber, termasuk pengelabuan massal, pencurian identitas dan penipuan, serta serangan penolakan layanan terdistribusi (Distributed Denial of Service/DDOS). Ini alasan mengapa hari ini, kami, dengan wawasan berharga tentang inteligensi ancaman dari Arkose Labs, sebuah vendor terdepan manajemen bot dan pertahanan keamanan cyber, mengejar penjual serta pembuat akun penipuan Microsoft nomor satu, sebuah kelompok yang kami sebut Storm-1152. Kami mengirimkan pesan tegas kepada mereka yang mencoba membuat, menjual, atau mendistribusikan produk penipuan Microsoft untuk kejahatan cyber: kami mengawasi, memerhatikan, dan akan bertindak untuk melindungi pelanggan kami. Storm-1152 menjalankan situs web dan halaman media sosial terlarang, menjual akun penipuan Microsoft, dan alat untuk menembus perangkat lunak verifikasi identitas di seluruh platform teknologi ternama. Layanan ini memberikan kemudahan bagi para penjahat, serta mempersingkat waktu yang mereka butuhkan untuk melakukan banyak tindakan kriminal dan perilaku penyalahgunaan online. Hingga saat ini, Storm-1152 telah membuat sebanyak kurang lebih 750 juta akun penipuan Microsoft untuk dijual, sehingga kelompok ini memperoleh penghasilan terlarang jutaan dolar yang semakin merugikan Microsoft dan perusahaan lainnya dalam memerangi aktivitas kriminal mereka. Melalui tindakan saat ini, kami bertujuan untuk menghentikan perilaku kriminal tersebut. Dengan mencoba untuk memperlambat kecepatan serangan yang diluncurkan oleh penjahat cyber, kami bertujuan menaikkan biaya yang mereka perlukan dalam menjalankan bisnis, sementara kami meneruskan penyelidikan dan melindungi para pengguna online serta pelanggan kami.
Dapatkan wawasan langsung dari para ahli di Microsoft Threat Intelligence Podcast. Dengarkan sekarang.
Mendisrupsi layanan gateway ke kejahatan cyber
Storm-1152 memainkan peran signifikan di ekosistem yang terspesialisasi khusus dalam kejahatan cyber sebagai layanan. Penjahat cyber membutuhkan akun penipuan untuk mendukung aktivitas kriminal mereka yang sangat terautomasi. Dengan adanya perusahaan yang bisa mengidentifikasi dan mematikan akun penipuan secara cepat, para penjahat memerlukan lebih banyak akun untuk menghindari upaya mitigasi. Penjahat cyber tidak akan menghabiskan waktu untuk menciptakan ribuan akun penipuan, tetapi mereka cukup membelinya dari Storm-1152 dan kelompok lain. Dengan ini para penjahat dapat memfokuskan upaya mereka pada sasaran utama, yaitu pengelabuan, spam, ransomware, serta tipe penipuan dan penyalahgunaan lainnya. Storm-1152 dan kelompok seperti mereka membuat banyak penjahat cyber mampu menyelenggarakan aktivitas berbahaya dengan lebih efektif dan efisien.
Microsoft Threat Intelligence sudah mengidentifikasi lebih dari satu kelompok yang terlibat di dalam ransomware, pencurian data, dan pemerasan yang telah menggunakan akun Storm-1152. Contohnya, Octo Tempest, dikenal juga dengan Scattered Spider, memperoleh akun penipuan Microsoft dari Storm-1152. Octo Tempest adalah kelompok kejahatan cyber tangguh bermotif finansial yang memanfaatkan kampanye rekayasa sosial berskala luas untuk meretas organisasi di seluruh dunia dengan tujuan pemerasan finansial. Microsoft terus melacak lebih dari satu aktor ransomware atau ancaman pemerasan lain yang telah membeli akun penipuan dari Storm-1152 untuk meningkatkan serangan mereka, termasuk Storm-0252 dan Storm-0455.
Pada hari Kamis, 7 Desember, Microsoft menerima perintah pengadilan dari Distrik Selatan New York untuk menyita infrastruktur berbasis A.S. dan mengambil situs web offline yang digunakan oleh Storm-1152 untuk mencelakai pelanggan Microsoft. Walaupun kasus kami berfokus pada akun penipuan Microsoft, situs web yang terkena dampak juga menjual layanan untuk menembus langkah pengamanan di platform teknologi ternama lainnya. Dengan demikian, tindakan saat ini memberikan dampak yang lebih luas dan keuntungan untuk pengguna di luar Microsoft. Secara spesifik, Unit Kejahatan Digital Microsoft (Digital Crimes Unit/DCU) mendisrupsi:
- Hotmailbox.me, sebuah situs web yang menjual akun penipuan Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA, dan NoneCAPTCHA, situs web yang memfasilitasi perkakas, infrastruktur, dan penjualan layanan penyelesaian CAPTCHA untuk menembus konfirmasi penggunaan dan penyiapan akun oleh orang nyata. Situs ini menjual alat penembus verifikasi identitas untuk platform teknologi ternama lainnya.
- Dahulu,situs media sosial secara aktif memasarkan layanan ini.
Gambar situs web terlarang Storm-1152.
Microsoft berkomitmen untuk menyediakan pengalaman digital yang aman untuk setiap orang dan organisasi di muka bumi. Kami bekerja bahu-membahu dengan Arkose Labs untuk menyebarkan solusi pertahanan CAPTCHA generasi berikutnya. Solusi ini memerlukan semua calon pengguna yang ingin membuka akun Microsoft untuk merepresentasikan bahwa mereka adalah manusia (bukan bot) dan memverifikasi keakuratan representasi tersebut dengan menyelesaikan berbagai tipe tantangan.
Seperti dituturkan oleh CEO dan pendiri Arkose Labs, Kevin Gosschalk: “Storm-1152 merupakan musuh yang ditakuti, yang didirikan semata untuk tujuan menghasilkan uang dengan cara mendukung lawan melakukan serangan rumit. Kelompok ini bisa dikenali lewat fakta bahwa mereka membangun bisnis CaaS secara terbuka dan bukan di web gelap. Storm-1152 beroperasi layaknya bisnis internet dengan finansial sehat, menyediakan pelatihan untuk alat mereka, dan bahkan menawarkan layanan pelanggan lengkap. Pada kenyataannya, Storm-1152 adalah gateway yang membuka jalan ke penipuan berbahaya.”
Aktivitas Storm-1152 bukan hanya melanggar ketentuan layanan Microsoft dengan menjual akun penipuan Microsoft, tetapi mereka juga dengan sengaja ingin mencelakai pelanggan Arkose Labs dan menipu korban dengan berpura-pura menjadi pengguna sah dalam rangka mencoba menembus langkah-langkah pengamanan.
Cuplikan layar penyitaan domain yang diinisiasi oleh Microsoft karena situs web ini mencoba menjual akun Microsoft yang diperoleh lewat penipuan
Analisis kami mengenai aktivitas Storm-1152 meliputi deteksi, analisis, telemetri, pembelian tes rahasia, dan rekayasa balik untuk menunjukkan infrastruktur berbahaya yang diselenggarakan di Amerika Serikat. Microsoft Threat Intelligence dan unit Riset Kecerdasan Ancaman Cyber (ACTIR) Arkose memberikan data dan wawasan tambahan untuk memperkuat kasus hukum kami.
Sebagai bagian penyelidikan kami, kami dapat mengonfirmasi identitas aktor yang memimpin operasi Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (dikenal juga dengan nama Nguyễn Van Linh) dan Tai Van Nguyen – yang berbasis di Vietnam. Penemuan kami menunjukkan bahwa individu ini beroperasi dan menulis kode untuk situs web terlarang, menerbitkan instruksi langkah demi langkah mendetail tentang cara menggunakan produk mereka lewat tutorial video, dan menyediakan layanan obrolan untuk membantu orang yang menggunakan layanan penipuan mereka.
Semenjak itu, Microsoft telah menyerahkan rujukan kriminal pada penegak hukum A.S. Kami berterima kasih atas kemitraan kami dengan para penegak hukum yang dapat mengadili orang-orang yang ingin mencelakai pelanggan kami.
Saluran YouTube Duong Dinh Tu dengan “video cara” untuk menembus langkah pengamanan.
Tindakan saat ini merupakan kesinambungan strategi Microsoft dalam menyasar ekosistem penjahat cyber yang lebih luas dan menarget alat yang mereka gunakan untuk meluncurkan serangan. Hal ini dibangun berdasarkan ekspansi metode hukum yang berhasil digunakan untuk mendisrupsi program jahat dan operasi negara-bangsa. Kami juga telah bermitra dengan organisasi lain di seluruh industri untuk meningkatkan pembagian inteligensi terkait penipuan, serta semakin menyempurnakan kecerdasan buatan dan algoritma pembelajaran mesin kami yang dapat mendeteksi dan menandai akun penipuan dengan cepat.
Seperti kami katakan sebelumnya, tidak ada disrupsi yang dapat diselesaikan di dalam satu hari. Mengejar kejahatan cyber membutuhkan ketelatenan dan kesiagaan menerus untuk mendisrupsi infrastruktur berbahaya baru. Walaupun tindakan hukum saat ini akan memengaruhi operasi Storm-1152, kami memperkirakan bahwa ini akan mengakibatkan aktor ancaman lainnya mengadaptasi teknik mereka. Kolaborasi menerus sektor publik dan privat, seperti terlaksana saat ini bersama Arkose Labs dan penegak hukum A.S., tetap menjadi hal esensial jika kita ingin memberikan pelajaran terkait dampak kejahatan cyber.
Ikuti Microsoft