Отделът за цифрови престъпления на Microsoft иззе няколко домейна, използвани от базираната във Виетнам киберпрестъпна група (Storm-1152), която е регистрирала над 750 милиона фалшиви акаунта и е спечелила милиони долари, като ги е продала онлайн на други киберпрестъпници.

Storm-1152 е основен доставчик на киберпрестъпления като услуга и продавач номер едно на фалшиви акаунти в Outlook, както и на други незаконни „продукти“, включително услуга за автоматично решаване на CAPTCHA за заобикаляне на CAPTCHA предизвикателствата на Microsoft и регистриране на още фалшиви имейл акаунти на Microsoft.

„Storm-1152″ управлява незаконни уебсайтове и страници в социалните медии, като продава измамни акаунти на Microsoft и инструменти за заобикаляне на софтуера за проверка на самоличността в добре познати технологични платформи. Тези услуги намаляват времето и усилията, необходими на престъпниците за извършване на множество престъпни и неправомерни действия в интернет“, твърди Ейми Хоган-Бърни, генерален мениджър на отдела за цифрови престъпления на Microsoft.

„Най-малко от 2021 г. насам ответниците участват в схема за получаване на милиони имейл акаунти в Microsoft Outlook на името на фиктивни потребители въз основа на поредица от неверни твърдения, а след това продават тези измамни акаунти на злонамерени лица за използване в различни видове киберпрестъпления“, се посочва в жалбата.

По данни на Microsoft Threat Intelligence многобройни кибергрупи, занимаващи се с изнудване, кражба на данни и изнудване, са купували и използвали акаунти, предоставени от Storm-1152, в своите атаки.

Така например финансово мотивираните киберпрестъпни групи Storm-0252, Storm-0455 и Octo Tempest (известна още като Scattered Spider) са използвали измамни акаунти на Storm-1152, за да проникнат в организации по целия свят и да внедрят в мрежите им софтуер за откуп.

Възникналите в резултат на това прекъсвания на услугите са довели до щети, оценени от Microsoft на стотици милиони долари.

„По информация и убеждение, доказателствата, събрани до момента от разследването на Microsoft по това дело, показват, че имейл акаунтите на Microsoft – които са били получени с измама от ответниците и продадени на киберпрестъпници – са били използвани от организирани киберпрестъпни групи, известни на Microsoft като Storm-0252, Storm-0455 и Octo Tempest, за участие в киберпрестъпна дейност, включително фишинг измами по имейл, които често се използват като средство за разпространение на ransomware и друг зловреден софтуер“, се добавя в жалбата.

На 7 декември Microsoft конфискува базираната в САЩ инфраструктура на Storm-1152 и свали следните уебсайтове, след като получи съдебна заповед от Южния окръг на Ню Йорк:

• Hotmailbox.me, уебсайт, продаващ фалшиви акаунти в Microsoft Outlook
• 1stCAPTCHA, AnyCAPTCHA и NoneCAPTCHA – уебсайтове, които улесняват създаването на инструменти, инфраструктура и продажбата на услугата за решаване на CAPTCHA, за да се заобиколи потвърждаването на използването и създаването на акаунт от реално лице. Тези сайтове продават инструменти за заобикаляне на потвърждаването на самоличността за други технологични платформи
• Сайтовете на социалните медии, активно използвани за продажба на тези услуги

Дружеството също така съди Duong Dinh Tu, Linh Van Nguyen (известен още като Nguyen Van Linh) и Tai Van Nguyen за предполагаемото им участие в хостването на киберпрестъпната операция на иззетите домейни.

Както се твърди още в жалбата, обвиняемите са управлявали и разработвали кода за иззетите уебсайтове. Те са участвали и в публикуването на видеоръководства за това как да се използват измамните акаунти в Outlook и са предлагали чат поддръжка на „клиентите“, използващи техните измамни услуги.

„Днешното действие е продължение на стратегията на Microsoft да се прицели в по-широката киберпрестъпна екосистема и да се насочи към инструментите, които киберпрестъпниците използват, за да извършват своите атаки. То се основава на разширяването на нашия правен метод, използван успешно за прекъсване на зловреден софтуер и операции на национални държави“, заяви Хоган-Бърни.