Microsoft опубликовала новый отчёт Cyber Signals, в котором поделилась свежими данными о деятельности хакерской группы Storm-0539 и резком увеличении краж подарочных карт в преддверии Дня памяти (Memorial Day) в США.
В новом отчёте Cyber Signals Microsoft подтверждает, что злоумышленники нацелены на организации, выпускающие подарочные карты, а не на конечных пользователей. Также в отчёте указывается на масштабное злоупотребление облачными сервисами для удешевления операций, пишет Securitylab.
Microsoft отмечает, что злоумышленники активизируются перед крупными праздниками: во время Рождества в прошлом году активность Storm-0539 увеличилась на 60%, а с марта по май 2024 года наблюдался заметный рост на 30%.
Методы работы Storm-0539
Получив доступ к целевой среде с использованием украденных учётных данных, хакеры регистрируют свои устройства в MFA-сервисах компании для сохранения доступа. Затем они перемещаются по сети, компрометируя виртуальные машины, VPN, SharePoint, OneDrive, Salesforce и Citrix.
В конечном итоге Storm-0539 получает доступ к учетным данным, позволяющим им создавать новые подарочные карты для последующей продажи в даркнете, в магазинах или обналичивания через с помощью денежных мулов.
Обычно компании устанавливают лимит суммы одной подарочной карты. Например, если лимит составляет $100 000, злоумышленники создают карту на $99 000, отправляют себе код карты и обналичивают его. Основная мотивация хакеров — похищать подарочные карты и продавать их дешевле. В некоторых случаях злоумышленники похищали до $100 000 в день у некоторых компаний, как объясняет Microsoft.
Для создания новой инфраструктуры киберпреступники создают сайты, имитирующие благотворительные организации, чтобы зарегистрироваться у поставщиков облачных сервисов. Аккаунты используют тарифные планы «оплата по мере использования» или бесплатные пробные версии, злоупотребляя такими тарифами для масштабных операций с минимальными затратами.