¿Qué es Storm-1152, supuesto máximo creador de cuentas falsas de Microsoft?

Microsoft se ha apoderado de los sitios web de un grupo con sede en Vietnam que, según afirma, vendió millones de cuentas falsas a ciberdelincuentes que las utilizaron para ataques de ransomware, robo de identidad y otras estafas en todo el mundo.

El grupo, identificado por Microsoft como Storm-1152, desarrolló herramientas sofisticadas para derrotar las características de seguridad del gigante tecnológico estadounidense para configurar cuentas de correo electrónico fraudulentas de Outlook y Hotmail en masa.

¿Quién está en Storm-1152?

Storm-1152 se detectó por primera vez en 2021. Arkose Labs, la empresa de ciberseguridad que trabajó con Microsoft contra el grupo, lo rastreó hasta Vietnam.

Los líderes del grupo son tres individuos que residen en Vietnam, Duong Dinh Tu, Linh Van Nguyen y Tai Van Nguyen, dijo Microsoft en un comunicado el miércoles. No está claro si hay otros miembros.

La AFP pidió a los tres una respuesta sobre las direcciones de correo electrónico que figuran en la demanda que Microsoft presentó contra ellos ante un tribunal federal de Estados Unidos la semana pasada.

La AFP también se puso en contacto con las autoridades vietnamitas para solicitar comentarios.

¿Cómo hicieron millones de cuentas tan rápidamente?

Storm-1152 desarrolló software automatizado (o «bots») para crear cuentas falsas.

Estos bots derrotaron las salvaguardas de Microsoft, como los acertijos CAPTCHA que los usuarios deben resolver para demostrar que son humanos, dijo el gigante tecnológico en su presentación judicial.

Storm-1152 es «el vendedor número uno y creador de cuentas fraudulentas de Microsoft», generando alrededor de 750 millones hasta la fecha, dijo la compañía el miércoles.

La presentación judicial de Microsoft incluía una captura de pantalla de un sitio web Storm-1152 que cuenta con el uso de inteligencia artificial contra CAPTCHA.

El grupo creó cuentas «a una escala tan grande, rápida y eficiente que sólo podría haberse llevado a cabo mediante tecnología automatizada de aprendizaje automático», dijo en un comunicado Patrice Boffa, director de atención al cliente de Arkose Labs.

¿Quién necesita tantas cuentas de correo electrónico falsas?

Storm-1152 siguió un modelo llamado «cibercrimen como servicio» o CaaS, actuando como proveedor de otros grupos criminales, dijeron Microsoft y Arkose.

A medida que las empresas de tecnología mejoran su detección y eliminación de cuentas falsas, los ciberatacantes necesitan enormes cantidades para llevar a cabo sus operaciones.

«En lugar de perder tiempo intentando crear miles de cuentas fraudulentas, los ciberdelincuentes pueden simplemente comprarlas a Storm-1152 y otros grupos», dijo Amy Hogan-Burney de Microsoft en una publicación de blog.

Storm-1152 supuestamente ganó millones de dólares con la operación.

¿Qué hicieron los clientes de Storm-1152 con las cuentas falsas?

Los clientes del grupo han utilizado cuentas de correo electrónico falsas para diversos delitos, según Microsoft y Arkose Labs.

Estos incluyen ataques de phishing para robar información o insertar malware en los dispositivos.

Según Microsoft, sus clientes también han utilizado estas cuentas para instalar ransomware y exigir pagos a las víctimas.

El cliente de más alto perfil mencionado en el expediente judicial de Microsoft es un grupo conocido como Octo Tempest, que ha sido vinculado a una ola de delitos cibernéticos en los últimos años.

Octo Tempest lanzó recientemente ataques de ransomware contra clientes de Microsoft que «causaron daños por cientos de millones de dólares», dijo la compañía en su expediente judicial, sin nombrar a las víctimas.

Google y X, anteriormente conocido como Twitter, también se vieron afectados por las actividades de Storm-1152, dijo Microsoft en el documento.

¿Fue difícil encontrar Storm-1152?

A diferencia de muchos ciberdelincuentes que ofrecen este tipo de servicios en la llamada web oscura, ocultos a los usuarios en general, los sitios web de Storm-1152 estaban en la web abierta.

Ofrecía sus servicios en al menos dos sitios web, según Microsoft, e incluso contaba con guías de usuario paso a paso.

Duong Dinh Tu, uno de los acusados, también tenía un canal de YouTube con una demostración en vídeo, y el grupo editaba el código de su software anti-CAPTCHA en GitHub, un depósito de software en Internet propiedad de Microsoft.

Microsoft dijo que también contrató a expertos en delitos cibernéticos para realizar compras encubiertas de cuentas y herramientas para superar CAPTCHA de sitios web Storm-1152.

Un tribunal estadounidense permitió a Microsoft tomar el control de los sitios del grupo en respuesta a la denuncia de la empresa la semana pasada.

Los sitios ahora dicen: «Microsoft se ha apoderado de este dominio».