Η Microsoft δημοσίευσε μια έκθεση «Cyber Signals», στην οποία μοιράζεται νέες πληροφορίες σχετικά με την ομάδα χάκερ « και την απότομη αύξηση μίας νέα απάτης με δωροκάρτες.
Το FBI είχε προειδοποιήσει προηγουμένως για τις δραστηριότητες της Storm-0539 (γνωστής και ως “Ant Lion”) νωρίτερα αυτό το μήνα, τονίζοντας τις προηγμένες τεχνικές της ομάδας απειλής στη διεξαγωγή κλοπών και απάτης με δωροκάρτες, δηλώνοντας ότι οι τακτικές της μοιάζουν με κρατικά χρηματοδοτούμενους χάκερ και εξελιγμένους φορείς κυβερνοκατασκοπείας.
Η Microsoft προειδοποιεί ότι οι απειλητικοί φορείς αυξάνουν τη δραστηριότητά τους πριν από μια σημαντική γιορτή (Memorial Day – ΗΠΑ), παρατηρώντας αύξηση 60% στη δραστηριότητα της Storm-0539 κατά τη διάρκεια των περσινών χειμερινών διακοπών (Χριστούγεννα) και μια αξιοσημείωτη αύξηση 30% μεταξύ Μαρτίου και Μαΐου 2024.
Στην πρόσφατη έκθεση «Cyber Signals», η Microsoft επιβεβαιώνει ότι οι φορείς απειλών στοχεύουν σε οργανισμούς που εκδίδουν δωροκάρτες και όχι σε τελικούς χρήστες, ενώ αποκαλύπτει επίσης μεγάλης κλίμακας κατάχρηση των παρόχων υπηρεσιών cloud για λειτουργίες χαμηλού κόστους.
«Storm-0539»: Το προφίλ των χάκερ και τρόπος δράσης
Η Storm-0539 είναι μια Μαροκινή ομάδα χάκερ με οικονομικά κίνητρα που δραστηριοποιείται από το 2021 και επικεντρώνεται κυρίως στην απάτη με δωροκάρτες και κάρτες πληρωμών.
Οι απειλητικοί φορείς είναι διαβόητοι για τις αναγνωριστικές τους προσπάθειες και τα ειδικά διαμορφωμένα μηνύματα ηλεκτρονικού ταχυδρομείου και SMS phishing, τα οποία στοχεύουν υπαλλήλους συγκεκριμένων οργανισμών, συνήθως εκδοτών καρτών δώρων.
Μόλις αποκτήσουν πρόσβαση στο περιβάλλον του στόχου χρησιμοποιώντας κλεμμένους λογαριασμούς, καταχωρούν τις δικές τους συσκευές στις πλατφόρμες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) της εταιρείας για επιμονή και στη συνέχεια κινούνται πλευρικά, παραβιάζοντας εικονικές μηχανές, VPN, περιβάλλοντα SharePoint, OneDrive, Salesforce και Citrix.
Τελικά, η Storm-0539 αποκτά πρόσβαση σε διαπιστευτήρια που της επιτρέπουν να δημιουργήσει νέες δωροκάρτες για να τις εξαργυρώσει σε σκοτεινές αγορές του διαδικτύου, σε καταστήματα ή εξαργυρώνοντάς τες χρησιμοποιώντας money mules.
«Συνήθως, οι οργανισμοί θέτουν ένα όριο στην αξία μετρητών που μπορεί να εκδοθεί σε μια μεμονωμένη δωροκάρτα. Για παράδειγμα, αν το όριο αυτό είναι 100.000 δολάρια, ο δράστης απειλής θα εκδώσει μια κάρτα για 99.000 δολάρια και στη συνέχεια θα στείλει στον εαυτό του τον κωδικό της δωροκάρτας και θα την αξιοποιήσει», εξηγεί η έκθεση Cyber Signals της Microsoft.
«Το πρωταρχικό τους κίνητρο είναι να κλέβουν δωροκάρτες και να επωφελούνται πουλώντας τις στο διαδίκτυο σε μειωμένη τιμή. Έχουμε δει μερικά παραδείγματα όπου οι δράστες έκλεβαν μέχρι και 100.000 δολάρια την ημέρα σε ορισμένες εταιρείες» αναφέρει η έκθεση
Πώς να μείνετε ασφαλείς
Η Microsoft προτείνει στους διαχειριστές έκδοσης δωροκαρτών να παρακολουθούν συνεχώς για ανωμαλίες και να εφαρμόζουν πολιτικές πρόσβασης υπό όρους, οι οποίες θα αποτρέπουν έναν μεμονωμένο, δυνητικά υποκλαπέντα λογαριασμό από το να παράγει έναν ασυνήθιστα μεγάλο αριθμό καρτών.
Επιπλέον, συνιστάται στους οργανισμούς να εφαρμόζουν μέτρα προστασίας από την αναπαραγωγή token, να επιβάλλουν την πρόσβαση με τα λιγότερα προνόμια και να χρησιμοποιούν κλειδιά ασφαλείας FIDO2 για την προστασία λογαριασμών υψηλού κινδύνου.
Οι έμποροι μπορούν επίσης να διαδραματίσουν κρίσιμο ρόλο στη διακοπή της αλυσίδας κερδών για την Storm-0539 και παρόμοιους φορείς απειλών, αναγνωρίζοντας και απορρίπτοντας παραγγελίες που φέρουν ύποπτα σημάδια.
Αν και οι επιθέσεις αυτές δεν επηρεάζουν τους αγοραστές, οι χρήστες του διαδικτύου θα πρέπει να διατηρούν αυξημένη προσοχή απέναντι σε απάτες, ψεύτικα καταστήματα και κακόβουλη διαφήμιση.
