Microsoft ha anunciado que ha emprendido acciones legales para interrumpir una operación de delito cibernético que vendía cuentas fraudulentas a una notoria banda de piratas informáticos. La operación, denominada “CyberX”, supuestamente proporcionaba acceso a cuentas comprometidas de Microsoft 365 y Azure al grupo “Evil Corp”, responsable de varios ataques de ransomware de alto perfil.
Según Microsoft, CyberX estaba utilizando técnicas de phishing y relleno de credenciales para obtener credenciales de inicio de sesión de víctimas desprevenidas y luego venderlas en la web oscura. CyberX también ofrecía servicios de apropiación de cuentas, donde secuestraban cuentas existentes y las usaban para lanzar más ataques.
Microsoft dijo que obtuvo una orden judicial para tomar el control de seis dominios que utilizaba CyberX para llevar a cabo sus actividades ilegales. La compañía también dijo que notificó a los clientes afectados y los ayudó a proteger sus cuentas. Microsoft dijo que sus acciones interrumpieron la capacidad de CyberX para operar y redujeron el riesgo de futuros ataques de Evil Corp.
La Unidad de Delitos Digitales (DCU) de Microsoft dirigió la investigación, que implicó la colaboración con agencias de aplicación de la ley y socios de ciberseguridad. Microsoft dijo que continuará monitoreando y persiguiendo a CyberX y Evil Corp, así como a otros ciberdelincuentes que abusan de sus productos y servicios.
El presidente de Microsoft, Brad Smith, dijo en un comunicado: “Estamos comprometidos a proteger a nuestros clientes y a la comunidad de Internet en general de la amenaza del delito cibernético. Esta operación es un ejemplo de cómo utilizamos nuestra experiencia legal y técnica para desbaratar a los actores maliciosos y proteger a nuestros clientes. . No toleraremos el uso indebido de nuestras plataformas y servicios por parte de ciberdelincuentes, y utilizaremos todos los medios disponibles para detenerlos”.
Los esfuerzos de Microsoft por desmantelar la infraestructura de una operación de delito cibernético conocida como “Tormenta-1152”. Este grupo estuvo involucrado en la venta de acceso a cuentas fraudulentas de Outlook a otros piratas informáticos, incluida la pandilla Scattered Spider. La operación fue un actor importante en el ecosistema de ciberdelincuencia como servicio (CaaS), ofreciendo servicios de piratería y ciberdelincuencia a otros individuos o grupos.
Según Microsoft, Storm-1152 creó aproximadamente 750 millones de cuentas fraudulentas de Microsoft a través de su servicio “hotmailbox.me” y obtuvo millones de dólares en ingresos ilícitos mientras causaba daños sustanciales a Microsoft. El grupo empleó ‘bots’ de Internet para engañar a los sistemas de seguridad de Microsoft, creando cuentas de correo electrónico Outlook a nombre de usuarios ficticios y vendiendo estas cuentas fraudulentas a ciberdelincuentes.
Además de las cuentas fraudulentas, Storm-1152 operaba servicios de resolución de tarifas para CAPTCHA, lo que permitía a los ciberdelincuentes eludir estas medidas de seguridad en los entornos en línea de Microsoft y otras empresas.
Microsoft identificó varios grupos de ransomware y extorsión, incluida la pandilla Scattered Spider (Octo Tempest), como usuarios de los servicios de Storm-1152. El grupo Scattered Spider estuvo anteriormente vinculado a ataques dirigidos a clientes de Okta y se atribuyó la responsabilidad del ataque a MGM Resorts.
Una orden judicial obtenida por Microsoft el 7 de diciembre reveló que los piratas informáticos de Scattered Spider habían cometido “ataques masivos de ransomware contra clientes emblemáticos de Microsoft”, lo que provocó interrupciones en el servicio y daños por cientos de millones de dólares.
Según se informa, los servicios de Storm-1152 fueron utilizados por otros grupos de ciberdelincuentes para atacar no sólo a Microsoft sino también a otras empresas de tecnología como X (anteriormente Twitter) y Google, causando daños a estas empresas y a sus clientes.
Es importante señalar que combatir el delito cibernético implica la colaboración entre empresas de tecnología, fuerzas del orden y expertos en ciberseguridad para identificar y desmantelar dichas operaciones.