Microsoft gibt an, die Infrastruktur einer Cyberkriminalitätsoperation erfolgreich demontiert zu haben, die anderen Hackern, darunter der berüchtigten Scattered Spider-Gang, Zugriff auf betrügerische Outlook-Konten verkauft hatte.
Die von Microsoft als „Storm-1152“ verfolgte Gruppe wird als wichtiger Akteur im Ökosystem „Cybercrime as a Service“ (CaaS) beschrieben, bei dem Kriminelle Hacking- und Cybercrime-Dienste für andere Einzelpersonen oder Gruppen bereitstellen. Storm-1152 hat über seinen Dienst „hotmailbox.me“ etwa 750 Millionen betrügerische Microsoft-Konten zum Verkauf angeboten, um „Millionen Dollar an illegalen Einnahmen“ zu erzielen und „Millionen Dollar an Schaden für Microsoft“ zu verursachen, so das Unternehmen. Der Technologieriese beschrieb die Operation als „größten Verkäufer und Ersteller betrügerischer Microsoft-Konten“.
Microsoft beschrieb diesen Vorgang als einen „Plan, bei dem Internet-„Bots“ eingesetzt werden, um sich in die Sicherheitssysteme von Microsoft einzuhacken und sie zu täuschen, indem sie glauben, dass sie legitime menschliche Nutzer von Microsoft-Diensten sind, Microsoft Outlook-E-Mail-Konten im Namen fiktiver Benutzer eröffnen und diese betrügerischen Konten verkaufen.“ an Cyberkriminelle.“
Laut Microsoft betrieb die Gruppe auch Rate-Solver-Dienste für CAPTCHAs, darunter „1stCAPTCHA“, „AnyCAPTCHA“ und „NoneCAPTCHA“. Storm-1152 bewarb diese Löser als eine Möglichkeit, jede Art von CAPTCHA zu umgehen und es Betrügern zu ermöglichen, die Online-Umgebungen von Microsoft und Unternehmen in anderen Branchen zu missbrauchen.
Microsoft gab an, mehrere Ransomware- und Erpressergruppen identifiziert zu haben, die die Dienste von Storm-1162 nutzen, darunter Octo Tempest, besser bekannt als Scattered Spider. Scattered Spider, eine inzwischen berüchtigte Hackergruppe, die vermutlich aus jungen englischsprachigen Mitgliedern besteht, wurde Anfang des Jahres mit einer Reihe von Angriffen auf Okta-Kunden in Verbindung gebracht, um an sensible Daten zu gelangen. Die Gruppe übernahm auch die Verantwortung für den Angriff auf MGM Resorts, der den Hotel- und Casinoriesen schätzungsweise 100 Millionen US-Dollar kosten wird.
Microsoft sagte in einem Gerichtsbeschluss Am 7. Dezember erfuhr das Unternehmen, dass seine Untersuchung zu Storm-1152 ergeben habe, dass Scattered-Spider-Hacker kürzlich auch „massive Ransomware-Angriffe gegen Flaggschiffkunden von Microsoft“ verübt hätten, was zu Dienstunterbrechungen geführt habe, die Schäden in Höhe von Hunderten Millionen Dollar verursacht hätten.
Die Dienste von Storm-1152 seien auch von Cyberkriminellengruppen genutzt worden, „um nicht nur Microsoft, sondern zahlreichen anderen Technologieunternehmen wie X (ehemals Twitter) und Google und deren Kunden zu schaden“, heißt es in der Beschwerde. Google antwortete nicht sofort auf die Fragen von Tech. Eine an die Presse-E-Mail von X gesendete Nachricht erhielt eine automatische Antwort: „Jetzt beschäftigt, bitte schauen Sie später noch einmal vorbei.“
Microsoft gab am Mittwoch bekannt, dass es die in den USA ansässige Infrastruktur und Domänen von Storm-1152 erfolgreich beschlagnahmt habe, nachdem es den Gerichtsbeschluss des Südbezirks von New York erhalten hatte. Zu diesen Maßnahmen gehörten die Beschlagnahmung von hotmailbox.me und die Störung von Diensten wie 1stCAPTCHA, AnyCAPTCHA und NoneCAPTCHA sowie die gezielte Bekämpfung der Social-Media-Konten, die Storm-1152 zur Werbung für diese Dienste nutzt.
Das Unternehmen sagte, es habe auch die Personen identifiziert, die hinter den Operationen von Storm-1152 stecken. Diese Personen namens Duong Dinh Tu, Linh Van Nguyễn (auch bekannt als Nguyễn Van Linh) und Tai Van Nguyen haben laut Microsoft ihren Sitz in Vietnam.
„Mit der heutigen Aktion ist es unser Ziel, kriminelles Verhalten abzuschrecken“, sagte April Hogan-Burney, General Manager der Digital Crimes Unit von Microsoft. „Indem wir versuchen, die Geschwindigkeit, mit der Cyberkriminelle ihre Angriffe starten, zu verlangsamen, wollen wir ihre Geschäftskosten erhöhen, während wir gleichzeitig unsere Ermittlungen fortsetzen und unsere Kunden und andere Online-Benutzer schützen.“
Microsoft wurde bei der Abschaltung von Storm-1152 vom in San Francisco ansässigen Cybersicherheitsunternehmen Arkose Labs unterstützt, das nach eigenen Angaben den Vorgang seit August 2021 verfolgt hat.
„Storm-1152 ist ein gewaltiger Gegner, der nur mit dem Ziel gegründet wurde, Geld zu verdienen, indem er Gegner in die Lage versetzt, komplexe Angriffe durchzuführen“, sagte Kevin Gosschalk, Gründer und CEO von Arkose Labs, in einer an Tech gesendeten Erklärung. „Die Gruppe zeichnet sich dadurch aus, dass sie ihr CaaS-Geschäft im Tageslicht und nicht im Dark Web aufgebaut hat. Storm-1152 fungierte als typisches Internet-Unternehmen, das Schulungen für seine Tools anbot und sogar umfassenden Kundensupport bot. In Wirklichkeit war Storm-1152 ein unverschlossenes Tor zu schwerem Betrug.“