Microsoft interrompe un’operazione di cybercriminalità vendendo account fraudolenti a un noto giro di hacking

Microsoft ha annunciato di aver intrapreso un’azione legale per interrompere un’operazione di criminalità informatica che vendeva account fraudolenti a un noto gruppo di hacker. L’operazione, denominata «CyberX», avrebbe fornito l’accesso ad account Microsoft 365 e Azure compromessi al gruppo «Evil Corp», responsabile di diversi attacchi ransomware di alto profilo.

Secondo Microsoft, CyberX utilizzava tecniche di phishing e credential stuffing per ottenere le credenziali di accesso da vittime ignare e poi venderle sul dark web. CyberX offriva anche servizi di account hijacking, in cui dirottava gli account esistenti e li utilizzava per lanciare ulteriori attacchi.

Microsoft ha dichiarato di aver ottenuto un ordine del tribunale per prendere il controllo di sei domini utilizzati da CyberX per svolgere le sue attività illegali. L’azienda ha anche dichiarato di aver avvisato i clienti interessati e di averli aiutati a proteggere i loro account. Microsoft ha dichiarato che le sue azioni hanno interrotto la capacità di CyberX di operare e hanno ridotto il rischio di futuri attacchi da parte di Evil Corp.

La Digital Crimes Unit (DCU) di Microsoft ha condotto l’indagine, che ha visto la collaborazione delle forze dell’ordine e dei partner della sicurezza informatica. Microsoft ha dichiarato che continuerà a monitorare e perseguire CyberX ed Evil Corp, così come altri criminali informatici che abusano dei suoi prodotti e servizi.

Il presidente di Microsoft Brad Smith ha dichiarato: «Siamo impegnati a proteggere i nostri clienti e la comunità di Internet in generale dalla minaccia della criminalità informatica. Questa operazione è un esempio di come utilizziamo le nostre competenze legali e tecniche per bloccare i malintenzionati e proteggere i nostri clienti». . Non tollereremo l’uso improprio delle nostre piattaforme e dei nostri servizi da parte dei criminali informatici e utilizzeremo tutti i mezzi disponibili per fermarli».

Gli sforzi di Microsoft per smantellare l’infrastruttura di un’operazione di criminalità informatica nota come «Storm-1152». Questo gruppo era coinvolto nella vendita dell’accesso ad account Outlook fraudolenti ad altri hacker, tra cui la banda Scattered Spider. L’operazione era uno dei principali attori dell’ecosistema del cybercrime-as-a-service (CaaS), che offre servizi di hacking e cybercrime ad altri individui o gruppi.

Secondo Microsoft, Storm-1152 ha creato circa 750 milioni di account Microsoft fraudolenti attraverso il suo servizio «hotmailbox.me» e ha guadagnato milioni di dollari in entrate illecite, causando al contempo danni sostanziali a Microsoft. Il gruppo ha utilizzato dei «bot» internet per ingannare i sistemi di sicurezza di Microsoft, creando account di posta elettronica Outlook a nome di utenti fittizi e vendendo questi account fraudolenti ai criminali informatici.

Oltre agli account fraudolenti, Storm-1152 gestiva servizi di risoluzione dei tassi CAPTCHA, consentendo ai criminali informatici di aggirare queste misure di sicurezza negli ambienti online di Microsoft e di altre aziende.

Microsoft ha identificato diversi gruppi di ransomware ed estorsione, tra cui la banda Scattered Spider (Octo Tempest), come utenti dei servizi Storm-1152. Il gruppo Scattered Spider è stato precedentemente collegato ad attacchi rivolti ai clienti di Okta e ha rivendicato la responsabilità dell’attacco a MGM Resorts.

Un’ordinanza del tribunale ottenuta da Microsoft il 7 dicembre ha rivelato che gli hacker di Scattered Spider hanno commesso «massicci attacchi ransomware contro i clienti di punta di Microsoft», causando interruzioni del servizio e centinaia di milioni di dollari di danni.

I servizi di Storm-1152 sarebbero stati utilizzati da altri gruppi di criminali informatici per attaccare non solo Microsoft ma anche altre aziende tecnologiche come X (ex Twitter) e Google, causando danni a queste aziende e ai loro clienti.

È importante che la lotta alla criminalità informatica preveda la collaborazione tra aziende tecnologiche, forze dell’ordine ed esperti di sicurezza informatica per identificare e smantellare tali operazioni.