Відділ цифрових злочинів корпорації Microsoft конфіскував кілька доменів, які використовувало в’єтнамське угруповання кіберзлочинців (Storm-1152). Воно зареєструвало понад 750 мільйонів шахрайських облікових записів і заробило мільйони доларів, продаючи їх онлайн іншим кіберзлочинцям. Про це повідомляє Bleeping Computer.
Storm-1152 є продавцем номер один шахрайських облікових записів Outlook, а також інших незаконних «продуктів», у тому числі служби автоматичного аналізу CAPTCHA, щоб обійти виклики CAPTCHA від Microsoft і зареєструвати більше шахрайських облікових записів електронної пошти.
«Storm-1152 керує незаконними вебсайтами й сторінками в соціальних мережах, продає шахрайські облікові записи Microsoft та інструменти для обходу програмного забезпечення для перевірки особи на відомих технологічних платформах. Ці послуги скорочують час і зусилля, необхідні злочинцям для вчинення низки злочинних та образливих дій в Інтернеті», – сказала Емі Хоган-Берні, генеральний менеджер відділу цифрових злочинів компанії Microsoft.
«Принаймні з 2021 року відповідачі були залучені в схему отримання мільйонів облікових записів електронної пошти Microsoft Outlook на імена фіктивних користувачів на основі серії неправдивих даних, а потім продали ці шахрайські облікові записи зловмисникам для використання у різних видах кіберзлочинності», – йдеться у скарзі.
За даними Microsoft Threat Intelligence, численні кібергрупи, залучені до програм-вимагачів, крадіжок даних і здирництва, купували та використовували у своїх атаках облікові записи, надані Storm-1152.
Наприклад, фінансово вмотивовані кіберзлочинні групи Storm-0252, Storm-0455 й Octo Tempest (відомі як Scattered Spider) використовували шахрайські облікові записи Storm-1152 для проникнення в організації по всьому світу та розгортання програм-вимагачів у їхніх мережах.
Збої в роботі, що виникли у результаті атак, призвели до збитків, які корпорація Microsoft оцінює в сотні мільйонів доларів.
«На підставі інформації та переконань докази, зібрані під час розслідування Microsoft у цій справі, показують, що облікові записи електронної пошти Microsoft, які були отримані відповідачами шахрайським шляхом і продані кіберзлочинцям, використовувалися організованими кіберзлочинними групами, відомими Microsoft як Storm-0252, Storm-0455 й Octo Tempest, для участі в кіберзлочинності, включно з фішинговими шахрайствами електронної пошти. Вони часто використовуються як засіб розповсюдження програм-вимагачів та іншого шкідливого програмного забезпечення», – додається у скарзі.
7 грудня Microsoft захопила американську інфраструктуру Storm-1152 й видалила такі вебсайти після отримання ухвали суду від Південного округу Нью-Йорка:
- Hotmailbox.me – вебсайт, який продає шахрайські облікові записи Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA та NoneCAPTCHA – вебсайти, які допомагають обійти підтвердження використання та налаштування облікового запису реальною особою.
- Сайти соціальних мереж, які активно використовуються для просування цих послуг.
Також компанія подала до суду на Дуонг Дінь Ту, Лінь Ван Нгуєна (він же Нгуєн Ван Лінь) і Тай Ван Нгуєна за нібито їхню участь у проведенні операції кіберзлочинців на конфіскованих доменах.
Як стверджується далі у скарзі, відповідачі керували та розробляли код для вилучених вебсайтів. Крім того, вони брали участь у публікації відеопосібників щодо використання шахрайських облікових записів Outlook і пропонували підтримку в чаті «клієнтам», які використовують їхні шахрайські служби.
«Сьогоднішня акція є продовженням стратегії Microsoft, спрямованої на боротьбу з ширшою екосистемою кіберзлочинців і націлювання на інструменти, які кіберзлочинці використовують для здійснення своїх атак. Вона базується на нашому розширенні законного методу, який успішно використовується для зриву зловмисного програмного забезпечення й операцій національних держав», – сказала Емі Хоган-Берні.
Раніше ProIT описував найкращі нові функції Microsoft .NET 8.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!