Microsoft a publicat un raport intitulat „Cyber Signals” în care oferă informații noi despre grupul de hackeri Storm-0539 și o creștere bruscă a furtului de carduri cadou pe măsură ce se apropie sărbătoarea Memorial Day în Statele Unite.
FBI a avertizat anterior despre activitățile grupului Storm-0539 (cunoscut și sub numele de „Ant Lion”) la începutul acestei luni, subliniind tehnicile avansate ale acestui grup în efectuarea furtului și fraudelor cu carduri cadou, afirmând că tacticile lor seamănă cu cele ale hackerilor sponsorizati de stat și actorilor sofisticați de ciber-spionaj.
Microsoft avertizează că actorii de amenințare își intensifică activitatea înainte de o sărbătoare majoră, observând o creștere de 60% a activității Storm-0539 în timpul sărbătorilor de iarnă de anul trecut (Crăciun) și o creștere notabilă de 30% între martie și mai 2024.
Profilul și Modus Operandi-ul Storm-0539
Storm-0539 este un grup de amenințare din Maroc, motivat financiar, activ din 2021, concentrându-se în principal pe fraude cu carduri cadou și carduri de plată.
Acești actori sunt notorii pentru eforturile lor de recunoaștere și mesajele phishing personalizate trimise prin email și SMS, care vizează angajații organizațiilor țintite, de obicei emițători de carduri cadou. Odată ce obțin acces la mediul țintă folosind conturi furate, își înregistrează propriile dispozitive pe platformele de autentificare multifactor (MFA) ale companiei pentru persistență și apoi se deplasează lateral, compromițând mașini virtuale, VPN-uri, SharePoint, OneDrive, Salesforce și Citrix.
În cele din urmă, Storm-0539 obține acces la acreditări care le permit să creeze noi carduri cadou pe care le răscumpără pe piețele de pe dark web, în magazine sau prin intermediul intermediarilor financiari.
Recomandări de Apărare
Microsoft sugerează operatorilor de portaluri de emitere a cardurilor cadou să monitorizeze constant pentru anomalii și să implementeze politici de acces condiționat care ar preveni generarea unui număr neobișnuit de mare de carduri de către un singur cont, posibil compromis.
De asemenea, organizațiile sunt sfătuite să implementeze măsuri de protecție împotriva reluării tokenurilor, să aplice accesul cu cel mai mic privilegiu și să utilizeze chei de securitate FIDO2 pentru a proteja conturile cu risc ridicat.
Comercianții pot juca, de asemenea, un rol crucial în perturbarea lanțului de profit al Storm-0539 și al altor actori de amenințare similari, recunoscând și respingând comenzile care prezintă semne suspecte.
Deși aceste atacuri nu afectează cumpărătorii de sărbători, utilizatorii de internet care se pregătesc pentru Memorial Day ar trebui să mențină o vigilență sporită împotriva înșelătoriilor, magazinelor false și publicității malițioase.