A Microsoft interrompe a operação de crime cibernético vendendo contas fraudulentas para uma famosa rede de hackers
A Microsoft anunciou que tomou medidas legais para interromper uma operação de crime cibernético que vendia contas fraudulentas para uma famosa rede de hackers. A operação, chamada de «CyberX», supostamente forneceu acesso a contas comprometidas do Microsoft 365 e do Azure para o grupo «Evil Corp», responsável por vários ataques de ransomware de alto nível.
De acordo com a Microsoft, o CyberX estava usando técnicas de phishing e de preenchimento de credenciais para obter credenciais de login de vítimas desavisadas e depois vendê-las na dark web. O CyberX também oferecia serviços de sequestro de contas, nos quais ele sequestrava contas existentes e as usava para lançar outros ataques.
A Microsoft informou que obteve uma ordem judicial para assumir o controle de seis domínios usados pelo CyberX para realizar suas atividades ilegais. A empresa também informou que notificou os clientes afetados e os ajudou a proteger suas contas. A Microsoft disse que suas ações interromperam a capacidade de operação da CyberX e reduziram o risco de futuros ataques da Evil Corp.
A Unidade de Crimes Digitais (DCU) da Microsoft conduziu a investigação, que envolveu a colaboração com agências de aplicação da lei e parceiros de segurança cibernética. A Microsoft disse que continuará a monitorar e perseguir a CyberX e a Evil Corp, bem como outros criminosos cibernéticos que abusam de seus produtos e serviços.
O presidente da Microsoft, Brad Smith, disse em um comunicado: «Temos o compromisso de proteger nossos clientes e a comunidade da Internet em geral contra a ameaça do crime cibernético. Essa operação é um exemplo de como usamos nossa experiência jurídica e técnica para interromper agentes mal-intencionados e proteger nossos clientes. . Não toleraremos o uso indevido de nossas plataformas e serviços por criminosos cibernéticos e usaremos todos os meios disponíveis para impedi-los».
Os esforços da Microsoft para desmantelar a infraestrutura de uma operação de crime cibernético conhecida como «Storm-1152». Esse grupo estava envolvido na venda de acesso a contas fraudulentas do Outlook para outros hackers, incluindo a gangue Scattered Spider. A operação era uma das principais participantes do ecossistema de CaaS (crime cibernético como serviço), oferecendo serviços de hacking e crime cibernético a outros indivíduos ou grupos.
De acordo com a Microsoft, o Storm-1152 criou aproximadamente 750 milhões de contas fraudulentas da Microsoft por meio do serviço ‘hotmailbox.me’ e obteve milhões de dólares em receita ilícita, causando danos substanciais à Microsoft. O grupo empregou «bots» da Internet para enganar os sistemas de segurança da Microsoft, criando contas de e-mail do Outlook em nome de usuários fictícios e vendendo essas contas fraudulentas a criminosos cibernéticos.
Além das contas fraudulentas, o Storm-1152 operava serviços de resolução de taxas CAPTCHA, permitindo que os criminosos cibernéticos contornassem essas medidas de segurança nos ambientes on-line da Microsoft e de outras empresas.
A Microsoft identificou vários grupos de ransomware e extorsão, incluindo a gangue Scattered Spider (Octo Tempest), como usuários dos serviços Storm-1152. O grupo Scattered Spider foi anteriormente vinculado a ataques direcionados a clientes da Okta e reivindicou a responsabilidade pelo ataque ao MGM Resorts.
Uma ordem judicial obtida pela Microsoft em 7 de dezembro revelou que os hackers do Scattered Spider haviam cometido «ataques maciços de ransomware contra os principais clientes da Microsoft», resultando em interrupções de serviço e centenas de milhões de dólares em danos.
Os serviços do Storm-1152 teriam sido usados por outros grupos de criminosos cibernéticos para atacar não apenas a Microsoft, mas também outras empresas de tecnologia, como a X (antiga Twitter) e o Google, causando danos a essas empresas e a seus clientes.
