Как хакеры зарабатывают на чужих подарках

[Artifact]

Microsoft рассказала о тактике злоумышленников, которые начинают охоту в преддверии праздников.
Microsoft опубликовала новый отчёт Cyber Signals, в котором поделилась свежими данными о деятельности хакерской группы Storm-0539 и резком увеличении краж подарочных карт в преддверии Дня памяти (Memorial Day) в США.
В новом отчёте Cyber Signals Microsoft подтверждает, что злоумышленники нацелены на организации, выпускающие подарочные карты, а не на конечных пользователей. Также в отчёте указывается на масштабное злоупотребление облачными сервисами для удешевления операций.
Microsoft отмечает, что злоумышленники активизируются перед крупными праздниками: во время Рождества в прошлом году активность Storm-0539 увеличилась на 60%, а с марта по май 2024 года наблюдался заметный рост на 30%.
Методы работы Storm-0539
Получив доступ к целевой среде с использованием украденных учётных данных, хакеры регистрируют свои устройства в MFA-сервисах компании для сохранения доступа. Затем они перемещаются по сети, компрометируя виртуальные машины, VPN, SharePoint, OneDrive, Salesforce и Citrix.
В конечном итоге Storm-0539 получает доступ к учетным данным, позволяющим им создавать новые подарочные карты для последующей продажи в даркнете, в магазинах или обналичивания через с помощью денежных мулов.
Обычно компании устанавливают лимит суммы одной подарочной карты. Например, если лимит составляет $100 000, злоумышленники создают карту на $99 000, отправляют себе код карты и обналичивают его. Основная мотивация хакеров — похищать подарочные карты и продавать их дешевле. В некоторых случаях злоумышленники похищали до $100 000 в день у некоторых компаний, как объясняет Microsoft.
Для создания новой инфраструктуры киберпреступники создают сайты, имитирующие благотворительные организации, чтобы зарегистрироваться у поставщиков облачных сервисов. Аккаунты используют тарифные планы «оплата по мере использования» или бесплатные пробные версии, злоупотребляя такими тарифами для масштабных операций с минимальными затратами.

Цепочка атаки Storm-0539
Рекомендации по защите
Microsoft советует операторам порталов выдачи подарочных карт постоянно мониторить аномалии и внедрять политики условного доступа , которые предотвратили бы возможность создания необычно большого количества карт одним учётным записью.
Кроме того, организациям рекомендуется внедрять меры защиты от повторного использования токенов, соблюдать принцип наименьших привилегий и использовать ключи безопасности FIDO2 для защиты учетных записей с высоким риском. Продавцы также могут сыграть важную роль в разрушении цепочки прибыли Storm-0539 и аналогичных злоумышленников, распознавая и отклоняя заказы с подозрительными признаками.
Хотя атаки не затрагивают покупателей, пользователям интернета, готовящимся к праздникам, следует проявлять повышенную осторожность в отношении мошенничества, поддельных магазинов и вредоносной рекламы.
Storm-0539 — это финансово мотивированная хакерская группа из Марокко, активная с 2021 года и специализирующаяся на мошенничестве с подарочными и платежными картами. Киберпреступники известны своей разведывательной деятельностью и специально созданными фишинговыми сообщениями по электронной почте и SMS, нацеленными на сотрудников организаций, выпускающих подарочные карты.