Microsoft démantèle un groupe qui vendait de faux comptes à des groupes de pirates informatiques

Microsoft a annoncé avoir réussi à démanteler un réseau de cybercriminels vendant l’accès à des comptes compromis appartenant à diverses organisations. L’opération, menée en collaboration avec des organismes chargés de l’application de la loi et des partenaires en matière de sécurité, visait un groupe connu sous le nom de «Necurs», soupçonné d’être à l’origine de certaines des campagnes de piratage les plus prolifiques de ces dernières années.

Selon Microsoft, Necurs proposait un service appelé «Bulletproof Accounts» qui permettait à d’autres pirates d’acheter ou de louer des comptes qui avaient été piratés par Necurs ou ses affiliés. Ces comptes pouvaient ensuite être utilisés pour lancer de nouvelles attaques, telles que des ransomwares, des campagnes de phishing ou de spam, contre les réseaux ou les contacts des victimes. Necurs a également vendu des outils et des services pour aider les pirates à échapper à la détection et à persister sur les systèmes compromis.

Microsoft a déclaré avoir utilisé une combinaison d’actions juridiques et techniques pour perturber les opérations de Necurs et mettre hors service son infrastructure. La société a obtenu une décision de justice qui lui a permis de prendre le contrôle des domaines et des serveurs de Necurs, ainsi que de bloquer ses canaux de communication. Microsoft a également collaboré avec des fournisseurs d’accès à Internet, des bureaux d’enregistrement de domaines et des hébergeurs pour désactiver les actifs de Necurs et empêcher leur réactivation.

À la suite de cette opération, Microsoft a déclaré avoir effectivement coupé l’accès de Necurs à plus de 10 millions de comptes compromis qu’il avait accumulés au fil des ans. L’entreprise a également indiqué qu’elle avait notifié les organisations et les personnes concernées et fourni des conseils sur la manière de protéger leurs comptes et leurs systèmes.

Tom Burt, vice-président de Microsoft chargé de la sécurité et de la confiance des clients, a déclaré dans un billet de blog que cette opération constituait une avancée significative dans la lutte contre la cybercriminalité et qu’elle démontrait l’importance de la collaboration entre les différentes parties prenantes.

«Necurs est l’un des réseaux de zombies les plus importants et les plus dangereux jamais créés, responsable de certaines des cyberattaques les plus destructrices et les plus répandues de l’histoire», a déclaré M. Burt. «En démantelant ce réseau, nous avons eu un impact considérable sur l’écosystème cybercriminel et réduit les risques pour des millions de personnes et d’entreprises dans le monde entier».

M. Burt a également exhorté les utilisateurs et les organisations à prendre des mesures proactives pour se protéger contre les cybermenaces, comme l’utilisation de mots de passe forts, l’activation de l’authentification multifactorielle, la mise à jour de leurs logiciels et la sauvegarde de leurs données.

Microsoft a récemment interrompu une opération cybercriminelle de grande envergure qui était responsable de la création et de la vente d’environ 750 millions de faux comptes Microsoft.

L’opération, baptisée Storm-1152 par Microsoft, «exploite des sites web illégaux et des pages de réseaux sociaux, proposant des comptes Microsoft frauduleux et des outils permettant de contourner les logiciels de vérification d’identité sur les plateformes technologiques les plus courantes».

Selon Microsoft, les faux comptes créés par Storm-1152 sont essentiels à la poursuite de l’opération. «Comme les entreprises peuvent rapidement détecter et fermer les comptes frauduleux, les criminels ont besoin de plus de comptes pour contourner les efforts d’atténuation. Au lieu de perdre du temps à créer des milliers de faux comptes, les cybercriminels peuvent simplement les acheter à Storm-1152 et à d’autres groupes».

Ces comptes permettent aux criminels de «se concentrer sur leurs cibles ultimes pour le phishing, le spam, les ransomwares et d’autres formes de fraude et d’abus», explique Microsoft.

L’un des groupes ayant collaboré avec Storm-1152 est Scattered Spider, qui aurait récemment piraté MGM Resorts.

Microsoft a collaboré avec Arkose Labs dans le cadre de l’enquête sur Storm-1152 et a obtenu, le 7 décembre, une ordonnance du tribunal du district sud de New York pour saisir l’infrastructure basée aux États-Unis et fermer les sites web utilisés par Storm-1152.