Microsoft derruba um grupo que vendia contas falsas para gangues de hackers
A Microsoft anunciou que interrompeu com sucesso uma rede de criminosos cibernéticos que vendia acesso a contas comprometidas pertencentes a várias organizações. A operação, que foi realizada em colaboração com agências de aplicação da lei e parceiros de segurança, teve como alvo um grupo conhecido como «Necurs», que se acredita estar por trás de algumas das campanhas de hacking mais prolíficas dos últimos anos.
De acordo com a Microsoft, a Necurs ofereceu um serviço chamado «Bulletproof Accounts» que permitia que outros hackers comprassem ou alugassem contas que haviam sido invadidas pela Necurs ou por suas afiliadas. Essas contas poderiam então ser usadas para lançar novos ataques, como ransomware, phishing ou campanhas de spam, contra as redes ou contatos das vítimas. A Necurs também vendia ferramentas e serviços para ajudar os hackers a evitar a detecção e manter a persistência em sistemas comprometidos.
A Microsoft disse que usou uma combinação de ações legais e técnicas para interromper as operações da Necurs e derrubar sua infraestrutura. A empresa obteve uma ordem judicial que lhe permitiu assumir o controle dos domínios e servidores da Necurs, além de bloquear seus canais de comunicação. A Microsoft também trabalhou com provedores de serviços de Internet, registradores de domínios e provedores de hospedagem para desativar os ativos da Necurs e impedir que fossem reativados.
Como resultado da operação, a Microsoft disse que cortou efetivamente o acesso da Necurs a mais de 10 milhões de contas comprometidas que havia acumulado ao longo dos anos. A empresa também disse que notificou as organizações e indivíduos afetados e forneceu orientação sobre como proteger suas contas e sistemas.
O vice-presidente corporativo de segurança e confiança do cliente da Microsoft, Tom Burt, disse em uma postagem de blog que a operação foi uma conquista significativa na luta contra o crime cibernético e demonstrou a importância da colaboração entre diferentes partes interessadas.
«A Necurs é uma das maiores e mais perigosas redes de bots já criadas, responsável por alguns dos ataques cibernéticos mais destrutivos e generalizados da história», disse Burt. «Ao derrubar essa rede, causamos um enorme impacto no ecossistema do crime cibernético e reduzimos o risco para milhões de pessoas e empresas em todo o mundo.»
Burt também pediu aos usuários e às organizações que tomem medidas proativas para se protegerem das ameaças cibernéticas, como usar senhas fortes, ativar a autenticação multifator, atualizar o software e fazer backup dos dados.
Recentemente, a Microsoft interrompeu uma grande operação de crime cibernético responsável pela criação e venda de cerca de 750 milhões de contas falsas da Microsoft.
A operação, batizada de Storm-1152 pela Microsoft, «opera sites ilegais e páginas de redes sociais, oferecendo contas Microsoft fraudulentas e ferramentas para contornar o software de verificação de identidade em plataformas tecnológicas populares».
A Microsoft afirma que as contas falsas criadas pelo Storm-1152 são essenciais para que a operação continue. «Como as empresas podem detectar e encerrar rapidamente as contas fraudulentas, os criminosos precisam de mais contas para contornar os esforços de mitigação. Em vez de perder tempo criando milhares de contas falsas, os criminosos cibernéticos podem simplesmente comprá-las do Storm-1152 e de outros grupos.»
Essas contas permitem que os criminosos «se concentrem em seus alvos finais para phishing, spam, ransomware e outras formas de fraude e abuso», diz a Microsoft.
Um dos grupos que colaboraram com o Storm-1152 é o Scattered Spider, que supostamente invadiu o MGM Resorts recentemente.
A Microsoft colaborou com a Arkose Labs na investigação do Storm-1152 e, em 7 de dezembro, obteve uma ordem judicial do Distrito Sul de Nova York para confiscar a infraestrutura baseada nos EUA e fechar os sites usados pelo Storm-1152.
