Microsoft stört Cybercrime-Operation durch Verkauf betrügerischer Konten an berüchtigten Hacker-Ring

Microsoft hat bekannt gegeben, dass es rechtliche Schritte eingeleitet hat, um eine Cybercrime-Operation zu unterbinden, die betrügerische Konten an einen berüchtigten Hacker-Ring verkauft hat. Die Operation mit dem Namen «CyberX» verschaffte angeblich der Gruppe «Evil Corp», die für mehrere hochkarätige Ransomware-Angriffe verantwortlich ist, Zugang zu kompromittierten Microsoft 365- und Azure-Konten.

Nach Angaben von Microsoft nutzte CyberX Phishing- und Credential Stuffing-Techniken, um Anmeldedaten von ahnungslosen Opfern zu erhalten und diese dann im Dark Web zu verkaufen. CyberX bot auch Account-Hijacking-Dienste an, bei denen bestehende Accounts gekapert und für weitere Angriffe genutzt wurden.

Microsoft hat nach eigenen Angaben einen Gerichtsbeschluss erwirkt, um die Kontrolle über sechs Domains zu übernehmen, die von CyberX für seine illegalen Aktivitäten genutzt wurden. Das Unternehmen sagte auch, dass es die betroffenen Kunden benachrichtigt und ihnen geholfen hat, ihre Konten zu schützen. Microsoft sagte, dass seine Maßnahmen die Fähigkeit von CyberX, zu operieren, gestört und das Risiko zukünftiger Angriffe durch Evil Corp. verringert haben.

Die Digital Crimes Unit (DCU) von Microsoft leitete die Untersuchung, die in Zusammenarbeit mit Strafverfolgungsbehörden und Cybersecurity-Partnern durchgeführt wurde. Microsoft wird CyberX und Evil Corp. sowie andere Cyberkriminelle, die seine Produkte und Dienste missbrauchen, weiterhin überwachen und verfolgen.

Brad Smith, Präsident von Microsoft, sagte in einer Erklärung: «Wir setzen uns dafür ein, unsere Kunden und die Internetgemeinschaft insgesamt vor der Bedrohung durch Cyberkriminalität zu schützen. Diese Aktion ist ein Beispiel dafür, wie wir unser juristisches und technisches Know-how einsetzen, um böswillige Akteure zu stören und unsere Kunden zu schützen. . Wir werden den Missbrauch unserer Plattformen und Dienste durch Cyber-Kriminelle nicht dulden und alle verfügbaren Mittel einsetzen, um sie zu stoppen».

Microsofts Bemühungen, die Infrastruktur einer als «Storm-1152» bekannten Cybercrime-Operation zu zerschlagen. Diese Gruppe war daran beteiligt, den Zugang zu betrügerischen Outlook-Konten an andere Hacker zu verkaufen, darunter die Scattered Spider Gang. Die Operation war ein wichtiger Akteur im Cybercrime-as-a-Service (CaaS)-Ökosystem, der anderen Personen oder Gruppen Hacker- und Cybercrime-Dienste anbot.

Nach Angaben von Microsoft hat Storm-1152 etwa 750 Millionen betrügerische Microsoft-Konten über den Dienst «hotmailbox.me» erstellt und damit Millionen von Dollar an illegalen Einnahmen erzielt und gleichzeitig Microsoft erheblichen Schaden zugefügt. Die Gruppe setzte Internet-«Bots» ein, um die Sicherheitssysteme von Microsoft zu täuschen. Sie erstellten Outlook-E-Mail-Konten im Namen fiktiver Benutzer und verkauften diese betrügerischen Konten an Cyberkriminelle.

Neben den betrügerischen Konten betrieb Storm-1152 auch Dienste zur Auflösung von CAPTCHA-Raten, die es Cyberkriminellen ermöglichten, diese Sicherheitsmaßnahmen in den Online-Umgebungen von Microsoft und anderen Unternehmen zu umgehen.

Microsoft identifizierte mehrere Ransomware- und Erpressergruppen, darunter die Scattered Spider (Octo Tempest)-Bande, als Nutzer der Storm-1152-Dienste. Die Scattered Spider-Gruppe wurde zuvor mit Angriffen auf Okta-Kunden in Verbindung gebracht und hat sich zu dem Angriff auf MGM Resorts bekannt.

Ein Gerichtsbeschluss, den Microsoft am 7. Dezember erhalten hatte, enthüllte, dass die Hacker von Scattered Spider «massive Ransomware-Angriffe gegen die wichtigsten Kunden von Microsoft» verübt hatten, die zu Serviceunterbrechungen und Schäden in Höhe von Hunderten Millionen Dollar führten.

Die Dienste von Storm-1152 wurden Berichten zufolge von anderen cyberkriminellen Gruppen genutzt, um nicht nur Microsoft, sondern auch andere Technologieunternehmen wie X (früher Twitter) und Google anzugreifen und diesen Unternehmen und ihren Kunden Schaden zuzufügen.

Die Bekämpfung der Cyberkriminalität erfordert die Zusammenarbeit zwischen Technologieunternehmen, Strafverfolgungsbehörden und Cybersicherheitsexperten, um solche Operationen zu identifizieren und zu zerschlagen.