Microsoft affirme avoir réussi à démanteler l’infrastructure d’une opération de cybercriminalité qui vendait l’accès à des comptes Outlook frauduleux à d’autres pirates, y compris le célèbre gang Scattered Spider.
Le groupe, suivi par Microsoft sous le nom de « Storm-1152 », est décrit comme un acteur majeur de l’écosystème de cybercriminalité en tant que service (CaaS), dans lequel les criminels fournissent des services de piratage et de cybercriminalité à d’autres individus ou groupes. Storm-1152 a créé et vendu environ 750 millions de comptes Microsoft frauduleux via son service « hotmailbox.me » pour gagner « des millions de dollars de revenus illicites » et causer « des millions de dollars de dommages à Microsoft », selon la société. Le géant de la technologie a qualifié l’opération de « vendeur numéro un et créateur de comptes Microsoft frauduleux ».
Microsoft a décrit cette opération comme un « plan visant à utiliser des « robots » Internet pour pirater et tromper les systèmes de sécurité de Microsoft en leur faisant croire qu’ils sont des consommateurs humains légitimes des services Microsoft, ouvrir des comptes de messagerie Microsoft Outlook au nom d’utilisateurs fictifs et vendre ces comptes frauduleux. aux cybercriminels.
Le groupe exploitait également des services de résolution de taux pour les CAPTCHA, notamment « 1stCAPTCHA », « AnyCAPTCHA » et « NoneCAPTCHA », selon Microsoft. Storm-1152 a présenté ces solveurs comme un moyen de contourner tout type de CAPTCHA, permettant ainsi aux fraudeurs d’abuser des environnements en ligne de Microsoft et des entreprises d’autres secteurs.
Microsoft a déclaré avoir identifié plusieurs groupes de ransomwares et d’extorsion utilisant les services de Storm-1162, notamment Octo Tempest, mieux connu sous le nom de Scattered Spider. Scattered Spider, un groupe de piratage désormais notoire qui serait composé de jeunes membres anglophones, a été associé plus tôt cette année à une série d’attaques ciblant les clients d’Okta dans le but d’extraire des données sensibles. Le groupe a également revendiqué l’attaque de MGM Resorts qui coûtera au géant de l’hôtellerie et du casino environ 100 millions de dollars.
Microsoft a déclaré dans une ordonnance du tribunal obtenue le 7 décembre que son enquête sur la tempête 1152 avait révélé que les pirates informatiques de Scattered Spider avaient également récemment commis « des attaques massives de ransomware contre des clients phares de Microsoft », entraînant des interruptions de service qui ont infligé des centaines de millions de dollars de dégâts.
Les services de Storm-1152 ont également été utilisés par des groupes cybercriminels « pour nuire non seulement à Microsoft, mais aussi à de nombreuses autres sociétés technologiques comme X (anciennement Twitter) et Google et leurs clients », selon la plainte. Google n’a pas immédiatement répondu aux questions de TechCrunch. Un message envoyé à l’e-mail de presse de X a reçu une réponse automatique : « Occupé maintenant, veuillez revenir plus tard. »
Microsoft a annoncé mercredi avoir réussi à saisir l’infrastructure et les domaines de Storm-1152 basés aux États-Unis après avoir obtenu l’ordonnance du tribunal du district sud de New York. Ces mesures comprenaient la saisie de hotmailbox.me et l’interruption de services tels que 1stCAPTCHA, AnyCAPTCHA et NoneCAPTCHA, ainsi que le ciblage des comptes de réseaux sociaux utilisés par Storm-1152 pour promouvoir ces services.
La société a déclaré avoir également identifié les individus à l’origine des opérations de Storm-1152. Ces personnes, nommées Duong Dinh Tu, Linh Van Nguyễn (également connu sous le nom de Nguyễn Van Linh) et Tai Van Nguyen, sont basées au Vietnam, selon Microsoft,
« Avec l’action d’aujourd’hui, notre objectif est de dissuader les comportements criminels », a déclaré April Hogan-Burney, directrice générale de la Digital Crimes Unit de Microsoft. « En cherchant à ralentir la vitesse à laquelle les cybercriminels lancent leurs attaques, nous visons à augmenter leurs coûts d’exploitation tout en poursuivant notre enquête et en protégeant nos clients et autres utilisateurs en ligne. »
Microsoft a été aidé dans le démantèlement de la tempête 1152 par la société de cybersécurité Arkose Labs, basée à San Francisco, qui a déclaré suivre l’opération depuis août 2021.
« Storm-1152 est un ennemi redoutable créé dans le seul but de gagner de l’argent en permettant à ses adversaires de commettre des attaques complexes », a déclaré Kevin Gosschalk, fondateur et PDG d’Arkose Labs, dans un communiqué envoyé à TechCrunch. « Le groupe se distingue par le fait qu’il a construit son activité CaaS à la lumière du jour plutôt que sur le dark web. Storm-1152 fonctionnait comme une entreprise Internet typique, proposant une formation sur ses outils et offrant même un support client complet. En réalité, la tempête 1152 était une porte ouverte vers une fraude grave.