Storm-0539: Microsoft individua gruppo hacker che ruba gift card

Microsoft ha pubblicato un report intitolato Cyber Signals condividendo nuove informazioni sul gruppo di hacker Storm-0539 e un forte aumento dei furti di carte regalo. Tutto ciò a ridosso della festività statunitense del Memorial Day. L'FBI aveva già messo in guardia sulle attività di Storm-0539 (noto anche come "Ant Lion") all'inizio di questo mese. L’autorità aveva notato le tecniche avanzate del gruppo nell’effettuare furti e frodi di gift card, affermando che le loro tattiche assomigliano a quelle di hacker sponsorizzati dallo stato e sofisticati attori di spionaggio informatico. Microsoft avverte che gli autori delle minacce aumentano la loro attività prima di una festività importante. Ad esempio, è stato registrato un aumento del 60% dell'attività Storm-0539 durante le vacanze invernali (Natale) dello scorso anno. È stato poi rilevato anche un notevole aumento del 30% tra marzo e maggio 2024.

Storm-0539: come funziona la truffa e come difendersi

Storm-0539 è un gruppo hacker marocchino motivato finanziariamente, attivo dal 2021, che si concentra principalmente sulle frodi relative a carte regalo e carte di pagamento. Nel report Cyber Signals, Microsoft conferma che gli autori delle minacce prendono di mira le organizzazioni che emettono buoni regalo. Una volta ottenuto l'accesso all'ambiente di destinazione utilizzando account rubati, registrano i propri dispositivi con le piattaforme di autenticazione a più fattori (MFA) dell'azienda. In seguito, si spostano lateralmente compromettendo macchine virtuali, VPN, SharePoint, OneDrive, Salesforce e ambienti Citrix. Storm-0539 ottiene così l'accesso alle credenziali che consentono loro di creare nuove carte regalo. Queste possono essere riscattate sui mercati del dark web, nei negozi o incassarle utilizzando i money mule.

Per creare una nuova infrastruttura per i loro attacchi, gli autori delle minacce creano siti web che si spacciano per organizzazioni no-profit. Questi vengono utilizzati per iscriversi ai fornitori di servizi cloud. Gli account aderiscono poi ai livelli "pay as you go" o "prova gratuita", di cui abusano in operazioni su larga scala a costi minimi o nulli. Microsoft suggerisce agli operatori dei portali di emissione di carte regalo di monitorare costantemente le anomalie e di implementare politiche di accesso condizionato. Tali misure impedirebbero a un singolo account potenzialmente compromesso di generare un numero insolitamente elevato di carte. Inoltre, si consiglia alle organizzazioni di implementare misure di protezione dalla riproduzione dei token, applicare l'accesso con privilegi minimi e utilizzare le chiavi di sicurezza FIDO2 per gli account. I commercianti possono anche svolgere un ruolo cruciale nell’interrompere la catena dei profitti di Storm-0539 riconoscendo e rifiutando gli ordini sospetti.