Microsoft supprime les sites Web utilisés pour créer 750 millions de comptes frauduleux

Microsoft a saisi certains sites Web gérés par un groupe basé au Vietnam qui a créé environ 750 millions de comptes Microsoft frauduleux après que l’éditeur de logiciels a reçu il y a une semaine une ordonnance du tribunal du district sud de New York.

Publier sur son blog le 13 décembreMicrosoft a déclaré avoir identifié le groupe de menace comme étant Storm-1152 et a déclaré dans son plainte que le groupe dirige une entreprise criminelle qui utilise le mensonge et la tromperie pour violer le CAPTCHA de Microsoft et d’autres mesures de sécurité, se procurer des comptes de messagerie Microsoft Outlook frauduleux, puis vendre les comptes frauduleux à une liste de cybercriminels. Microsoft a déclaré que ces comptes en ligne frauduleux servent de passerelle vers une multitude de cybercriminalité, notamment le phishing de masse, le vol et la fraude d’identité, ainsi que les attaques par déni de service distribué (DDoS).

À ce jour, ces activités ont rapporté à Storm-1152 millions de dollars de revenus illicites, ce qui a coûté encore plus cher à Microsoft et à d’autres entreprises pour lutter contre leurs activités criminelles.

« Chez Microsoft, nous continuons à rechercher des moyens créatifs pour protéger les personnes en ligne, notamment en n’accordant aucune tolérance à l’égard de ceux qui créent des copies frauduleuses de nos produits pour nuire à autrui », a déclaré Amy Hogan-Burney, directrice générale et avocate générale associée, politique de cybersécurité. et protection pour Microsoft.

Hogan-Burney a écrit que Microsoft avait supprimé Hotmailbox.me, un marché pour les comptes Microsoft Outlook frauduleux ; 1stCaptcha, AnyCaptcha et NoneCaptcha, qui vendaient des outils de contournement de la vérification d’identité ; ainsi que les sites de médias sociaux utilisés pour commercialiser les services frauduleux. Microsoft a déclaré avoir saisi ces sites, dans l’attente de sa demande auprès du district sud de New York pour un procès devant jury.

Les entités du secteur privé s’en prennent aux mauvais acteurs

Callie Guenther, directrice principale de la recherche sur les cybermenaces chez Critical Start, a déclaré que la récente décision de Microsoft marque une étape importante dans l’application de la cybersécurité par les entreprises. Guenther a déclaré que cette approche, bien que pas entièrement nouvelle, souligne une position proactive des entreprises technologiques privées dans la lutte contre la cybercriminalité et perturbe les opérations des groupes cybercriminels, au moins temporairement.

« Cela crée des revers opérationnels et financiers pour les criminels, les obligeant à reconstruire ou à déplacer leurs infrastructures », a déclaré Guenther. « Des actions agressives comme celle-ci ont un effet dissuasif, signalant aux autres cybercriminels que les entreprises technologiques combattent activement de telles activités. Ces opérations fournissent souvent des renseignements précieux, notamment des tactiques, des techniques et des procédures utilisées par les criminels, qui peuvent être utilisées pour renforcer les défenses. »

Guenther a ajouté que du point de vue du renseignement sur les menaces, des actions comme celles de Microsoft sont cruciales pour comprendre et contrer les opérations sophistiquées de cybercriminalité. Il aide les équipes de sécurité à effectuer les tâches suivantes : cartographier l’écosystème de la cybercriminalité en tant que service ; identifier les nouvelles tendances en matière de cybercriminalité – telles que l’utilisation de comptes frauduleux pour des ransomwares et le vol de données – et améliorer les bases de données de renseignements sur les menaces avec des indicateurs de compromission (IoC) et des TTP mis à jour.

Microsoft a déjà été impliqué dans des actions similaires. En décembre 2021, Microsoft a pris des mesures contre les pirates informatiques chinois utilisant des certificats numériques pour masquer des activités malveillantes.

Cependant, Guenther a déclaré que de telles interventions publiques et agressives de la part des entreprises technologiques sont relativement rares, principalement en raison de la complexité des considérations juridiques et géopolitiques. Apple a également collaboré avec le FBI en 2016 pour supprimer des sites torrent.

« Ces actions, bien que peu fréquentes, témoignent du rôle croissant des entités du secteur privé dans l’application des lois en matière de cybersécurité », a déclaré Guenther.

Austin Berglas, responsable mondial des services professionnels chez BlueVoyant, a ajouté que ces retraits ne peuvent faire avancer la cause des défenseurs que s’ils sont soutenus par d’autres actions. Berglas a déclaré que l’interruption des opérations ne pourrait être que temporaire si l’organisation principale et le personnel restent intacts.

“La suppression de comptes et de sites Web lors de retraits dont les propriétaires et les opérateurs sont encore libres peut être considérée comme une ‘taupe’ et peu de temps après la saisie de ces sites malveillants, une nouvelle infrastructure est déployée et les opérations se poursuivent”, a déclaré Berglas. « Le démantèlement d’une organisation est presque impossible lorsque les acteurs sont situés dans des pays comme la Chine et la Russie, et c’est encore plus complexe lorsque cette activité est parrainée par l’État. Les saisies de ce type doivent être soutenues par le gouvernement fédéral lorsqu’un lien est établi avec un pays hôte spécifique – la seule mesure de dissuasion pour ce type de crime passe par des considérations politiques et économiques.

Ngoc Bui, expert en cybersécurité chez Menlo Security, a déclaré que cette affaire met en lumière les capacités techniques et les activités de cybercriminalité souvent négligées provenant de pays comme le Vietnam. Bui a déclaré que cela rappelle que la cybercriminalité est un problème mondial, avec des activités importantes provenant de régions qui ne sont généralement pas associées à des opérations cybercriminelles de grande envergure.

« Cela souligne la nécessité d’une perspective mondiale et d’une coopération dans les efforts de cybersécurité », a déclaré Bui. « L’émergence continue de groupes cybercriminels sophistiqués dans diverses régions du monde nécessite des approches internationales vigilantes et collaboratives pour lutter efficacement contre ces menaces en évolution. »