Microsoft a annoncé avoir déjoué les plans d’un groupe de cybercriminels basé au Vietnam, responsable de la création de 750 millions de comptes Microsoft frauduleux.
Cette action a été rendue possible grâce à une ordonnance judiciaire émise par le Tribunal du District Sud de New York, autorisant l’entreprise à saisir les infrastructures et sites web basés aux États-Unis utilisés par le groupe, connu sous le nom de Storm-1152, identifié comme le principal vendeur et créateur de comptes Microsoft frauduleux.
Parmi les sites saisis figurent Hotmailbox.me, un marché de comptes Microsoft Outlook frauduleux; 1stCaptcha, AnyCaptcha, et NoneCaptcha, spécialisés dans la vente d’outils permettant de contourner les vérifications d’identité; ainsi que les sites de médias sociaux utilisés pour commercialiser ces services.
Amy Hogan-Burney, directrice générale et conseillère générale adjointe en matière de politique et de protection de la cybersécurité chez Microsoft, a déclaré : « Storm-1152 gère des sites web et des pages sur les réseaux sociaux illicites, vendant des comptes Microsoft frauduleux et des outils pour contourner le logiciel de vérification d’identité sur des plateformes technologiques bien connues. Ces services réduisent le temps et les efforts nécessaires aux criminels pour mener une multitude de comportements criminels et abusifs en ligne. »
Microsoft indique que le groupe est au cœur de l’écosystème du cybercrime en tant que service, fournissant d’énormes quantités de comptes à des cybercriminels qui les utilisent ensuite pour du phishing, du spam, des ransomwares et d’autres types de fraudes et d’abus.
Parmi les criminels utilisant les comptes de Storm-1152, Microsoft a identifié Octo Tempest, également connu sous le nom de Scattered Spider, un groupe de cybercriminalité à motivation financière qui utilise de vastes campagnes d’ingénierie sociale pour compromettre des organisations à travers le monde. D’autres incluent les groupes de ransomware Storm-0252 et Storm-0455.
Kevin Gosschalk, fondateur et PDG d’Arkose Labs, qui a collaboré avec Microsoft sur l’enquête, a déclaré : « Storm-1152 est un ennemi redoutable, établi dans le seul but de gagner de l’argent en donnant aux adversaires les moyens de commettre des attaques complexes. Le groupe se distingue par le fait qu’il a construit son entreprise CaaS ( Crime as a service ) en pleine lumière, contrairement au dark web. Storm-1152 fonctionnait comme une entreprise internet typique, offrant des formations pour ses outils et même un support client complet. En réalité, Storm-1152 était une porte ouverte aux fraudes sérieuses. »
L’entreprise de CaaS du groupe a initialement vendu aux fraudeurs des services prêts à l’emploi pour les Captchas, prétendant pouvoir contourner tout type de Captcha. Elle a ensuite commencé à utiliser des bots pour enregistrer de faux comptes Microsoft qu’elle vendait en gros à d’autres fraudeurs pour des attaques en ligne telles que le phishing, les logiciels malveillants, les arnaques amoureuses et les abus de produits. Elle a ainsi gagné des millions de dollars, selon Arkose.
Microsoft affirme avoir pu identifier les individus qui ont exploité et écrit le code pour les sites web illicites, publié des instructions détaillées étape par étape sur la manière d’utiliser leurs produits via des tutoriels vidéo et fourni des services de chat pour assister ceux qui utilisaient leurs services frauduleux. La société a soumis une référence criminelle aux forces de l’ordre américaines.
Cependant, Hogan-Burney met en garde : « La lutte contre la cybercriminalité exige de la persistance et une vigilance continue pour perturber les nouvelles infrastructures malveillantes. Bien que l’action légale d’aujourd’hui aura un impact sur les opérations de Storm-1152, nous nous attendons à ce que d’autres acteurs de menaces adaptent leurs techniques en conséquence. »