Microsoft schaltet eine Gruppe aus, die gefälschte Konten an Hacker-Banden verkauft hat

Microsoft hat bekannt gegeben, dass es erfolgreich ein Netzwerk von Cyberkriminellen zerschlagen hat, die Zugang zu kompromittierten Konten verschiedener Organisationen verkauften. Die Operation, die in Zusammenarbeit mit Strafverfolgungsbehörden und Sicherheitspartnern durchgeführt wurde, richtete sich gegen eine Gruppe namens «Necurs», die für einige der erfolgreichsten Hacking-Kampagnen der letzten Jahre verantwortlich sein soll.

Nach Angaben von Microsoft bot Necurs einen Dienst namens «Bulletproof Accounts» an, der es anderen Hackern ermöglichte, Konten zu kaufen oder zu mieten, die von Necurs oder seinen Partnern gehackt worden waren. Diese Konten konnten dann verwendet werden, um neue Angriffe wie Ransomware, Phishing oder Spam-Kampagnen gegen die Netzwerke oder Kontakte der Opfer zu starten. Necurs verkaufte auch Tools und Dienstleistungen, die den Hackern dabei halfen, sich der Entdeckung zu entziehen und sich auf den kompromittierten Systemen zu halten.

Microsoft hat nach eigenen Angaben eine Kombination aus rechtlichen und technischen Maßnahmen ergriffen, um den Betrieb von Necurs zu stören und die Infrastruktur des Unternehmens lahmzulegen. Das Unternehmen erwirkte einen Gerichtsbeschluss, der es ihm ermöglichte, die Kontrolle über die Domains und Server von Necurs zu übernehmen und die Kommunikationskanäle zu blockieren. Microsoft arbeitete außerdem mit Internet-Service-Providern, Domain-Registrierern und Hosting-Anbietern zusammen, um die Vermögenswerte von Necurs zu deaktivieren und zu verhindern, dass sie reaktiviert werden.

Als Ergebnis der Operation hat Microsoft nach eigenen Angaben den Zugang von Necurs zu mehr als 10 Millionen kompromittierten Konten, die sich im Laufe der Jahre angesammelt hatten, effektiv abgeschnitten. Das Unternehmen teilte außerdem mit, dass es betroffene Organisationen und Einzelpersonen benachrichtigt und ihnen Hinweise zum Schutz ihrer Konten und Systeme gegeben hat.

Tom Burt, Microsofts Corporate Vice President für Sicherheit und Kundenvertrauen, sagte in einem Blogbeitrag, dass die Operation ein bedeutender Erfolg im Kampf gegen Cyberkriminalität sei und die Bedeutung der Zusammenarbeit zwischen den verschiedenen Interessengruppen zeige.

«Necurs ist eines der größten und gefährlichsten Botnetze, das je geschaffen wurde und für einige der zerstörerischsten und am weitesten verbreiteten Cyberattacken der Geschichte verantwortlich ist», sagte Burt. «Durch die Zerschlagung dieses Netzwerks haben wir einen großen Einfluss auf das Ökosystem der Cyberkriminellen genommen und das Risiko für Millionen von Menschen und Unternehmen auf der ganzen Welt verringert.»

Burt forderte Nutzer und Unternehmen außerdem auf, proaktive Maßnahmen zum Schutz vor Cyber-Bedrohungen zu ergreifen, wie z.B. die Verwendung sicherer Passwörter, die Aktivierung der Multi-Faktor-Authentifizierung, die Aktualisierung ihrer Software und die Sicherung ihrer Daten.

Microsoft hat vor kurzem eine große Cybercrime-Operation gestoppt, die für die Erstellung und den Verkauf von rund 750 Millionen gefälschten Microsoft-Konten verantwortlich war.

Die von Microsoft als Storm-1152 bezeichnete Operation «betreibt illegale Websites und Social-Networking-Seiten, auf denen betrügerische Microsoft-Konten und Tools zur Umgehung der Identitätsüberprüfungssoftware auf beliebten Technologieplattformen angeboten werden».

Microsoft sagt, dass die gefälschten Konten, die von Storm-1152 erstellt wurden, unerlässlich sind, damit die Operation weitergehen kann. «Da Unternehmen betrügerische Konten schnell aufspüren und stilllegen können, brauchen Kriminelle mehr Konten, um die Bemühungen zur Eindämmung zu umgehen. Anstatt Zeit damit zu verschwenden, Tausende von gefälschten Konten zu erstellen, können Cyberkriminelle sie einfach von Storm-1152 und anderen Gruppen kaufen.»

Diese Konten ermöglichen es Kriminellen, «sich auf ihre eigentlichen Ziele für Phishing, Spam, Ransomware und andere Formen von Betrug und Missbrauch zu konzentrieren», so Microsoft.

Eine der Gruppen, die mit Storm-1152 zusammengearbeitet hat, ist Scattered Spider, die angeblich vor kurzem MGM Resorts gehackt hat.

Microsoft hat bei der Untersuchung von Storm-1152 mit Arkose Labs zusammengearbeitet und am 7. Dezember einen Gerichtsbeschluss des Southern District of New York erwirkt, um die in den USA ansässige Infrastruktur zu beschlagnahmen und die von Storm-1152 genutzten Websites abzuschalten.