Microsoft ha anunciado que ha interrumpido con éxito una red de ciberdelincuentes que vendían acceso a cuentas comprometidas pertenecientes a varias organizaciones. La operación, que se llevó a cabo en colaboración con agencias policiales y socios de seguridad, tenía como objetivo un grupo conocido como “Necurs”, que se cree que está detrás de algunas de las campañas de piratería informática más prolíficas de los últimos años.
Según Microsoft, Necurs ofrecía un servicio llamado “Cuentas a prueba de balas” que permitía a otros piratas informáticos comprar o alquilar cuentas que habían sido pirateadas por Necurs o sus afiliados. Estas cuentas podrían luego usarse para lanzar nuevos ataques, como ransomware, phishing o campañas de spam, contra las redes o los contactos de las víctimas. Necurs también vendía herramientas y servicios para ayudar a los piratas informáticos a evadir la detección y mantener la persistencia en los sistemas comprometidos.
Microsoft dijo que utilizó una combinación de acciones legales y técnicas para interrumpir las operaciones de Necurs y derribar su infraestructura. La empresa obtuvo una orden judicial que le permitió hacerse con el control de los dominios y servidores de Necurs, así como bloquear sus canales de comunicación. Microsoft también trabajó con proveedores de servicios de Internet, registradores de dominios y proveedores de alojamiento para desactivar los activos de Necurs y evitar que se reactiven.
Como resultado de la operación, Microsoft dijo que efectivamente cortó el acceso de Necurs a más de 10 millones de cuentas comprometidas que había acumulado a lo largo de los años. La compañía también dijo que notificó a las organizaciones e individuos afectados y les brindó orientación sobre cómo proteger sus cuentas y sistemas.
El vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, Tom Burt, dijo en una publicación de blog que la operación fue un logro significativo en la lucha contra el cibercrimen y que demostró la importancia de la colaboración entre las diferentes partes interesadas.
“Necurs es una de las botnets más grandes y peligrosas jamás creadas, responsable de algunos de los ciberataques más destructivos y generalizados de la historia”, afirmó Burt. “Al derribar esta red, hemos hecho un gran impacto en el ecosistema cibercriminal y hemos reducido el riesgo para millones de personas y empresas en todo el mundo”.
Burt también instó a los usuarios y organizaciones a tomar medidas proactivas para protegerse de las amenazas cibernéticas, como usar contraseñas seguras, permitir la autenticación multifactor, actualizar su software y realizar copias de seguridad de sus datos.
Microsoft ha interrumpido recientemente una importante operación de cibercrimen que era responsable de crear y vender alrededor de 750 millones de cuentas falsas de Microsoft.
La operación, denominada Storm-1152 por Microsoft, “opera sitios web y páginas de redes sociales ilegales, ofreciendo cuentas fraudulentas de Microsoft y herramientas para evadir software de verificación de identidad en plataformas tecnológicas populares”.
Microsoft dice que las cuentas falsas creadas por Storm-1152 son esenciales para que la operación continúe. “Como las empresas pueden detectar y cerrar rápidamente cuentas fraudulentas, los delincuentes necesitan más cuentas para eludir los esfuerzos de mitigación. En lugar de perder tiempo creando miles de cuentas falsas, los ciberdelincuentes pueden simplemente comprarlas a Storm-1152 y otros grupos”.
Estas cuentas permiten a los delincuentes “concentrarse en sus objetivos finales de phishing, spam, ransomware y otras formas de fraude y abuso”, afirma Microsoft.
Uno de los grupos que colaboró con Storm-1152 es Scattered Spider, que supuestamente hackeó MGM Resorts recientemente.
Microsoft colaboró con Arkose Labs en la investigación de Storm-1152 y el 7 de diciembre obtuvo una orden judicial del Distrito Sur de Nueva York para confiscar la infraestructura con sede en EE. UU. y cerrar los sitios web utilizados por Storm-1152.