Microsoft рассказала о тактике злоумышленников, которые начинают охоту в преддверии праздников.
Microsoft опубликовала новый отчет Cyber Signals, в котором поделилась свежими данными о деятельности хакерской группы Storm-0539 и резком увеличении краж подарочных карт в преддверии Дня памяти (Memorial Day) в США.
В новом отчете Cyber Signals Microsoft подтверждает, что злоумышленники нацелены на организации, выпускающие подарочные карты, а не на конечных пользователей. Также в отчете указывается на масштабное злоупотребление облачными сервисами для удешевления операций.
Microsoft отмечает, что злоумышленники активизируются перед крупными праздниками: во время Рождества в прошлом году активность Storm-0539 увеличилась на 60%, а с марта по май 2024 года наблюдался заметный рост на 30%.
Методы работы Storm-0539
Получив доступ к целевой среде с использованием украденных учетных данных, хакеры регистрируют свои устройства в MFA-сервисах компании для сохранения доступа. Затем они перемещаются по сети, компрометируя виртуальные машины, VPN, SharePoint, OneDrive, Salesforce и Citrix.
В конечном итоге Storm-0539 получает доступ к учетным данным, позволяющим им создавать новые подарочные карты для последующей продажи в даркнете, в магазинах или обналичивания через с помощью денежных мулов.
Обычно компании устанавливают лимит суммы одной подарочной карты. Например, если лимит составляет $100 000, злоумышленники создают карту на $99 000, отправляют себе код карты и обналичивают его. Основная мотивация хакеров — похищать подарочные карты и продавать их дешевле. В некоторых случаях злоумышленники похищали до $100 000 в день у некоторых компаний, как объясняет Microsoft.
Для создания новой инфраструктуры киберпреступники создают сайты, имитирующие благотворительные организации, чтобы зарегистрироваться у поставщиков облачных сервисов. Аккаунты используют тарифные планы «оплата по мере использования» или бесплатные пробные версии, злоупотребляя такими тарифами для масштабных операций с минимальными затратами.
Рекомендации по защите
Microsoft советует операторам порталов выдачи подарочных карт постоянно мониторить аномалии и внедрять политики условного доступа, которые предотвратили бы возможность создания необычно большого количества карт одним учётным записью.
Кроме того, организациям рекомендуется внедрять меры защиты от повторного использования токенов, соблюдать принцип наименьших привилегий и использовать ключи безопасности FIDO2 для защиты учетных записей с высоким риском. Продавцы также могут сыграть важную роль в разрушении цепочки прибыли Storm-0539 и аналогичных злоумышленников, распознавая и отклоняя заказы с подозрительными признаками.
Хотя атаки не затрагивают покупателей, пользователям интернета, готовящимся к праздникам, следует проявлять повышенную осторожность в отношении мошенничества, поддельных магазинов и вредоносной рекламы.
Storm-0539 — это финансово мотивированная хакерская группа из Марокко, активная с 2021 года и специализирующаяся на мошенничестве с подарочными и платежными картами.
Киберпреступники известны своей разведывательной деятельностью и специально созданными фишинговыми сообщениями по электронной почте и SMS, нацеленными на сотрудников организаций, выпускающих подарочные карты.