Microsoft stört die Cyberkriminalität, indem es betrügerische Konten an eine berüchtigte Hackerbande verkauft

Microsoft hat angekündigt, rechtliche Schritte eingeleitet zu haben, um eine Cyberkriminalitätsoperation zu verhindern, bei der betrügerische Konten an eine berüchtigte Hackerbande verkauft wurden. Die Operation mit dem Namen „CyberX“ verschaffte angeblich der Gruppe „Evil Corp“, die für mehrere hochkarätige Ransomware-Angriffe verantwortlich ist, Zugriff auf kompromittierte Microsoft 365- und Azure-Konten.

Laut Microsoft nutzte CyberX Phishing- und Credential-Stuffing-Techniken, um Anmeldeinformationen von ahnungslosen Opfern zu erhalten und diese dann im Dark Web zu verkaufen. CyberX bot auch Kontoübernahmedienste an, bei denen bestehende Konten gekapert und für weitere Angriffe genutzt wurden.

Microsoft sagte, es habe einen Gerichtsbeschluss erhalten, um die Kontrolle über sechs Domains zu übernehmen, die CyberX für seine illegalen Aktivitäten nutzte. Das Unternehmen sagte außerdem, es habe betroffene Kunden benachrichtigt und ihnen geholfen, ihre Konten zu schützen. Microsoft sagte, seine Maßnahmen hätten die Funktionsfähigkeit von CyberX beeinträchtigt und das Risiko künftiger Angriffe von Evil Corp verringert.

Die Digital Crimes Unit (DCU) von Microsoft leitete die Untersuchung, die eine Zusammenarbeit mit Strafverfolgungsbehörden und Cybersicherheitspartnern beinhaltete. Microsoft sagte, es werde CyberX und Evil Corp sowie andere Cyberkriminelle, die seine Produkte und Dienste missbrauchen, weiterhin überwachen und verfolgen.

Microsoft-Präsident Brad Smith sagte in einer Erklärung: „Wir sind bestrebt, unsere Kunden und die breitere Internet-Community vor der Bedrohung durch Cyberkriminalität zu schützen.“ Diese Operation ist ein Beispiel dafür, wie wir unser rechtliches und technisches Fachwissen nutzen, um böswillige Akteure zu vereiteln und unsere Kunden zu schützen. . „Wir werden den Missbrauch unserer Plattformen und Dienste durch Cyberkriminelle nicht tolerieren und werden alle verfügbaren Mittel nutzen, um ihn zu stoppen.“

Die Bemühungen von Microsoft, die Infrastruktur einer Cyberkriminalitätsoperation namens „Storm-1152“ zu zerstören. Diese Gruppe war daran beteiligt, Zugang zu betrügerischen Outlook-Konten an andere Hacker zu verkaufen, darunter die Scattered Spider-Bande. Das Unternehmen war ein wichtiger Akteur im CaaS-Ökosystem (Cybercrime as a Service) und bot anderen Einzelpersonen oder Gruppen Hacking- und Cybercrime-Dienste an.

Nach Angaben von Microsoft hat Storm-1152 über seinen Dienst „hotmailbox.me“ rund 750 Millionen betrügerische Microsoft-Konten erstellt, illegale Einnahmen in Millionenhöhe erzielt und Microsoft erheblichen Schaden zugefügt. Die Gruppe nutzte Internet-Bots, um die Sicherheitssysteme von Microsoft auszutricksen, erstellte Outlook-E-Mail-Konten im Namen fiktiver Benutzer und verkaufte diese betrügerischen Konten an Cyberkriminelle.

Neben betrügerischen Konten betrieb Storm-1152 Gebührenauflösungsdienste für CAPTCHA, die es Cyberkriminellen ermöglichten, diese Sicherheitsmaßnahmen in den Online-Umgebungen von Microsoft und anderen Unternehmen zu umgehen.

Microsoft identifizierte mehrere Ransomware- und Erpressergruppen, darunter die Scattered Spider (Octo Tempest)-Bande, als Nutzer der Dienste von Storm-1152. Die Scattered Spider-Gruppe war zuvor mit Angriffen auf Okta-Kunden in Verbindung gebracht worden und übernahm die Verantwortung für den Angriff auf MGM Resorts.

Ein am 7. Dezember von Microsoft erhaltener Gerichtsbeschluss ergab, dass Scattered-Spider-Hacker „massive Ransomware-Angriffe gegen Flaggschiffkunden von Microsoft“ verübt hatten, was zu Dienstunterbrechungen und Schäden in Höhe von Hunderten Millionen Dollar führte.

Die Dienste von Storm-1152 wurden Berichten zufolge von anderen Cyberkriminellengruppen genutzt, um nicht nur Microsoft, sondern auch andere Technologieunternehmen wie X (ehemals Twitter) und Google anzugreifen und diesen Unternehmen und ihren Kunden Schaden zuzufügen.

Es ist wichtig zu beachten, dass die Bekämpfung von Cyberkriminalität die Zusammenarbeit zwischen Technologieunternehmen, Strafverfolgungsbehörden und Cybersicherheitsexperten erfordert, um solche Operationen zu identifizieren und zu unterbinden.