Microsoft hat in den USA eine gerichtliche Anordnung erwirkt, um die dort ansässige Infrastruktur der Cybercrime-as-a-Service-Gruppe Storm-1152 zu beschlagnahmen und mehrere Websites sowie Social-Media-Profile vom Netz zu nehmen. Storm-1152 nutzte diese, um gefälschte Microsoft-Konten und Tools zur Umgehung von Identitätsüberprüfungssoftware auf bekannten Technologieplattformen zu verkaufen. Die Dienste verringern laut einem
Blog-Beitrag von
Microsoft den Zeit- und Arbeitsaufwand für Cyber-Kriminelle. Bis heute hat Storm-1152 demnach etwa 750 Millionen gefälschte Microsoft-Konten zum Verkauf angeboten, mit denen die Gruppe wiederum illegale Einnahmen in Millionenhöhe erzielt hat. Der jetzige Schlag soll aber nicht nur Microsoft-Nutzern zugutekommen, sondern auch den Kunden anderer betroffener Anbieter.
Microsoft hat bei der Aktion eng mit dem Cybersecurity-Anbieter Arkosa Labs zusammengearbeitet. Kevin Gosschalk, Gründer und CEO von Arkose Labs, erklärt: "Storm-1152 ist ein furchterregender Gegner, der mit dem einzigen Ziel gegründet wurde, Geld zu verdienen, indem er Angreifern die Möglichkeit gibt, komplexe Angriffe durchzuführen. Die Gruppe zeichnet sich dadurch aus, dass sie ihr CaaS-Geschäft im Tageslicht und nicht im Dark Web aufgebaut hat." Storm-1152 agiere wie ein typisches Internetunternehmen, das Schulungen für seine Tools anbietet und sogar einen umfassenden Kundensupport leiste. "In Wirklichkeit war Storm-1152 aber ein offenes Einfallstor für schweren Betrug."
Die Gruppe spielt laut
Microsoft eine wichtige Rolle im hochspezialisierten Cybercrime-as-a-Service-Ökosystem. Denn Cyberkriminelle benötigen betrügerische Konten, um ihre weitgehend automatisierten Aktivitäten zu ermöglichen. Unternehmen identifizieren und löschen diese gefälschten Konten jedoch schnell. Daher ist eine hohe Zahl entsprechender Zugänge notwendig, die sie wiederum von Storm-1152 und anderen Gruppen beziehen können.
Im Zuge des Vorgehens gegen die Gruppe Anfang Dezember hat Microsoft die Webseiten Hotmailbox.me, 1stCAPTCHA, AnyCAPTCHA und NoneCAPTCHA sowie die entsprechenden Social-Media-Kanäle übernommen. Zuvor führten Microsoft und Arkosa Labs laut eigenen Angaben umfassende Massnahmen wie verdeckte Testkäufe sowie Reverse Engineering durch, um die in den Vereinigten Staaten gehostete bösartige Infrastruktur zu ermitteln. Dabei konnten die Unternehmen zudem die Identität der Akteure hinter der Gruppe feststellen. Die Ergebnisse würden zeigen, dass die in Vietnam ansässigen Personen den Code für die illegalen Websites betrieben und geschrieben haben, detaillierte Schritt-für-Schritt-Anleitungen zur Nutzung ihrer Produkte in Form von Video-Tutorials veröffentlichten und Chat-Dienste anboten, um Nutzern beim Angebot ihrer betrügerischen Dienste zu helfen.
(sta)