Sărbătorile și criminalitatea cibernetică
Microsoft a avertizat cu privire la un actor de amenințare pe care l-a numit Storm-0539, lansând atacuri asupra organizațiilor de retail înaintea sărbătorilor. Compania a menționat că a observat o "creștere" în activitatea grupului.
Gigantul tehnologic i-a adus în prim-plan pe hackeri în noiembrie, numindu-i un grup "motivat financiar" activ din 2021. Grupul are o atracție pentru organizatiile de retail în ceea ce privește frauda cu carduri cadou și furtul, și "efectuează o recunoaștere extinsă a organizațiilor țintă pentru a crea momeli de pescuit convingătoare și a fura acreditările și token-urile utilizatorilor pentru accesul inițial."
Intensitatea atacurilor cibernetice de Crăciun
Pe măsură ce se instalează sezonul sărbătorilor, Microsoft a declarat că grupul își intensifică atacurile cu carduri cadou utilizând phishing prin e-mail și SMS în timpul sezonului de cumpărături de sărbători.
Grupul utilizează pagini de autentificare false pentru a fura acreditările și folosește acest acces ilicit pentru a obține o persistență mai mare în sistemul unei victime.
Cu fiecare cont compromis, Storm-0539 reușește să escaladeze privilegiile, își extinde controlul asupra altor sisteme sau resurse în rețea și accesează resursele cloud pentru a colecta informații specifice.
Pe lângă frauda cu carduri cadou, Storm-0539 colectează informații suplimentare, inclusiv emailuri, liste de contacte și configurații de rețea pentru atacuri viitoare împotriva aceleiași organizații.
Grupurile desemnate cu cuvântul "Storm" de către Microsoft tind să reprezinte o "activitate de amenințare nou descoperită, necunoscută, emergentă sau în dezvoltare."
Demiterea vânzătorilor de credențiale din Vietnam
Împreună cu avertismentele din perioada sărbătorilor, Microsoft a anunțat săptămâna trecută că a obținut o hotărâre judecătorească pentru a confisca infrastructura cu sediul în SUA a unui grup de criminali cibernetici care administra mai multe site-uri ce vindeau acces la aproximativ 750 de milioane de conturi frauduloase cu marcă Microsoft, aducând grupului milioane de dolari în venituri ilicite.
La 7 decembrie, Microsoft a obținut o hotărâre judecătorească, permițându-i să închidă piața frauduloasă de conturi Microsoft Outlook Hotmailbox.me, precum și mai multe site-uri - 1stCAPTCHA, AnyCAPTCHA și NoneCAPTCHA - care facilitează instrumentarea, infrastructura și vânzarea serviciului de rezolvare CAPTCHA pentru a ocoli confirmarea de utilizare și configurarea contului de către o persoană reală. Aceste site-uri vindeau instrumente de bypassare a verificării identității pentru alte platforme tehnologice.
Site-urile vindeau conturi Microsoft frauduloase și instrumente pentru a ocoli software-ul de verificare a identității pe platforme tehnologice bine-cunoscute - reducând timpul și efortul necesar ca criminalii să desfășoare o serie de comportamente criminale și abuzive online.
Potrivit Microsoft, hackerii și criminalii cibernetici au nevoie de conturi frauduloase pentru a-și susține activitățile automate. Pe măsură ce companiile devin mai eficiente în închiderea conturilor frauduloase, criminalii cibernetici au nevoie de tot mai multe pentru a facilita atacurile.
Grupul Storm-1152 și legăturile cu atacuri de ransomware și extorcare
Microsoft Threat Intelligence a identificat mai multe grupuri implicate în ransomware, furt de date și extorcare care au folosit conturi din cadrul Storm-1152. De exemplu, Octo Tempest, cunoscut și sub numele de Scattered Spider, a obținut conturi Microsoft frauduloase de la Storm-1152.
Octo Tempest este un grup de cybercrime motivat financiar care utilizează campanii extinse de social engineering pentru a compromite organizații la nivel mondial, cu scopul de a le șantaja financiar. Microsoft continuă să urmărească mai mulți actori de amenințare în domeniul ransomware sau extorcare care au cumpărat conturi frauduloase de la Storm-1152 pentru a-și intensifica atacurile, inclusiv Storm-0252 și Storm-0455.
Abuzurile asupra OAuth
Microsoft a identificat un hacker cunoscut ca Storm-1283, care a utilizat un cont compromis pentru a crea o aplicație OAuth, permițându-i să implementeze instrumente de criptomonetare.
Organizațiile vizate au suportat costuri pentru calcul de la 10.000 la 1,5 milioane de dolari SUA din cauza atacurilor, în funcție de activitatea actorului și durata atacului.
Storm-1283 a căutat să mențină configurația cât mai mult timp posibil pentru a crește șansele de activitate de criptomonetare cu succes.
Abuzul asupra OAuth permite hackerilor să-și mențină accesul la aplicații "chiar și dacă pierd accesul la contul inițial compromis.”
În fața amenințărilor cibernetice crescânde în perioada sărbătorilor, prudența în interacțiunile online, verificarea autenticității paginilor de autentificare și actualizarea constantă a dispozitivelor sunt reguli de bune practici. Implementarea autentificării în doi pași și educarea continuă în domeniul securității pot adăuga straturi eficiente de protecție. Fiți extrem de atenți la e-mailurile și mesajele SMS suspecte, în special în timpul sezonului sărbătorilor. Evitați să introduceți informațiile cardului cadou pe site-uri necunoscute sau nesigure. Întotdeauna verificați autenticitatea magazinului online înainte de a efectua orice tranzacție.