Microsoft elimina un gruppo che vendeva account falsi a bande di hacker

Microsoft ha annunciato di aver interrotto con successo una rete di criminali informatici che vendevano l’accesso ad account compromessi appartenenti a varie organizzazioni. L’operazione, condotta in collaborazione con le forze dell’ordine e i partner di sicurezza, ha preso di mira un gruppo noto come «Necurs», ritenuto responsabile di alcune delle campagne di hacking più prolifiche degli ultimi anni.

Secondo Microsoft, Necurs offriva un servizio chiamato «Bulletproof Accounts» che permetteva ad altri hacker di acquistare o affittare account che erano stati violati da Necurs o dai suoi affiliati. Questi account potevano poi essere utilizzati per lanciare nuovi attacchi, come ransomware, campagne di phishing o spam, contro le reti o i contatti delle vittime. Necurs vendeva anche strumenti e servizi per aiutare gli hacker a eludere il rilevamento e a mantenere la persistenza sui sistemi compromessi.

Microsoft ha dichiarato di aver utilizzato una combinazione di azioni legali e tecniche per interrompere le operazioni di Necurs e disattivare la sua infrastruttura. L’azienda ha ottenuto un’ordinanza del tribunale che le ha permesso di prendere il controllo dei domini e dei server di Necurs e di bloccare i suoi canali di comunicazione. Microsoft ha inoltre collaborato con i provider di servizi internet, i registratori di domini e i provider di hosting per disattivare le attività di Necurs e impedirne la riattivazione.

Come risultato dell’operazione, Microsoft ha dichiarato di aver effettivamente tagliato l’accesso di Necurs a più di 10 milioni di account compromessi che aveva accumulato nel corso degli anni. L’azienda ha inoltre dichiarato di aver notificato le organizzazioni e i privati interessati e di aver fornito indicazioni su come proteggere i propri account e sistemi.

Il vicepresidente aziendale di Microsoft per la sicurezza e la fiducia dei clienti, Tom Burt, ha dichiarato in un post sul blog che l’operazione rappresenta un risultato significativo nella lotta contro la criminalità informatica e dimostra l’importanza della collaborazione tra le diverse parti interessate.

«Necurs è una delle botnet più grandi e pericolose mai create, responsabile di alcuni dei cyberattacchi più distruttivi e diffusi della storia», ha dichiarato Burt. «Abbattendo questa rete, abbiamo avuto un impatto enorme sull’ecosistema dei criminali informatici e ridotto il rischio per milioni di persone e aziende in tutto il mondo».

Burt ha inoltre esortato gli utenti e le organizzazioni ad adottare misure proattive per proteggersi dalle minacce informatiche, come l’utilizzo di password forti, l’attivazione dell’autenticazione a più fattori, l’aggiornamento del software e il backup dei dati.

Microsoft ha recentemente interrotto un’importante operazione di criminalità informatica che era responsabile della creazione e della vendita di circa 750 milioni di account Microsoft falsi.

L’operazione, soprannominata Storm-1152 da Microsoft, «gestisce siti web e pagine di social network illegali, offrendo account Microsoft fraudolenti e strumenti per aggirare il software di verifica dell’identità sulle piattaforme tecnologiche più diffuse».

Microsoft afferma che gli account falsi creati da Storm-1152 sono essenziali per il proseguimento dell’operazione. «Poiché le aziende sono in grado di rilevare e chiudere rapidamente gli account fraudolenti, i criminali hanno bisogno di un maggior numero di account per eludere gli sforzi di mitigazione. Invece di perdere tempo a creare migliaia di account falsi, i criminali informatici possono semplicemente acquistarli da Storm-1152 e altri gruppi».

Questi account consentono ai criminali di «concentrarsi sui loro obiettivi finali per il phishing, lo spam, il ransomware e altre forme di frode e abuso», afferma Microsoft.

Uno dei gruppi che ha collaborato con Storm-1152 è Scattered Spider, che avrebbe violato MGM Resorts di recente.

Microsoft ha collaborato con Arkose Labs nell’indagine su Storm-1152 e il 7 dicembre ha ottenuto un’ordinanza del tribunale del distretto meridionale di New York per il sequestro dell’infrastruttura statunitense e la chiusura dei siti web utilizzati da Storm-1152.