Microsoft hat einen Anstieg betrügerischer Aktivitäten der ebenfalls bekannten marokkanischen Cyberkriminellengruppe Storm-0539 festgestellt als Atlas Lion, das auf Geschenkkartensysteme während der Feiertage abzielt. Die seit Ende 2021 aktive Gruppe hat sich von Angriffen auf Registrierkassen und Kioske auf die Kompromittierung von Online-Cloud-und Identitätsdiensten verlagert. Diese Entwicklung hat es ihnen ermöglicht, die Geschenkkartenportale großer Einzelhändler und anderer Unternehmen zu infiltrieren.
Erweiterte Taktiken und Methoden
Storm-0539 verwendet ausgefeilte Techniken, um Verstoß gegen Geschenkkartensysteme. Zunächst sammelt die Gruppe wichtige Informationen wie Mitarbeiterverzeichnisse, Kontaktlisten und E-Mail-Posteingänge von Zielorganisationen. Anschließend senden sie Smishing-Texte – betrügerische Nachrichten, die auf den Diebstahl persönlicher Daten abzielen – sowohl an private als auch an geschäftliche Telefone von Mitarbeitern. Sobald das Konto eines Mitarbeiters kompromittiert ist, bewegen sich die Angreifer seitlich durch das Netzwerk, identifizieren den Geschenkkarten-Geschäftsprozess und nehmen Konten ins Visier, die mit diesem Portfolio verknüpft sind.
Sobald Storm-0539 Zugriff auf das Geschenkkartenportal eines Unternehmens erhält, kann dies geschehen Erstellen Sie neue Geschenkkarten zum Selbsteinlösen oder verkaufen Sie sie auf dem Schwarzmarkt an andere Cyberkriminalitätsgruppen. Die Gruppe hat auch die Möglichkeit, sich den Wert dieser Karten auszahlen zu lassen. Microsoft weist darauf hin, dass es zu Feiertagseinkaufszeiten wie dem Memorial Day, dem 4. Juli, dem Labor Day und der Weihnachtszeit am Jahresende häufig zu einem Anstieg betrügerischer Aktivitäten durch Storm-0539 kommt.
Erhöhte Aktivität und Entwicklung
Microsoft beobachtete zwischen März und Mai 2024 einen Anstieg der Aktivität von Storm-0539 um 30 %. Die Gruppe hat sich vom Angriff auf Point-of-Sale-Geräte zum Angriff auf Cloud-und Identitätsdienste entwickelt. Storm-0539 nutzt ausgefeilte Methoden, um dauerhaften Zugriff auf Cloud-Umgebungen zu erhalten, und imitiert damit staatlich geförderte Bedrohungsakteure. Die Gruppe registriert ihre eigenen bösartigen Geräte in den Netzwerken der Opfer, um den Schutz durch Multifaktor-Authentifizierung zu umgehen.
Geschenkkarten sind für Cyberkriminelle besonders attraktiv, da ihnen Kundennamen oder Bankkonten fehlen, was die Kontrolle ihrer Verwendung erschweren kann. Diese Anonymität macht sie zu einem lukrativen Ziel für Gruppen wie Storm-0539. Die Gruppe gibt sich oft als legitime Organisationen aus und nutzt Typosquatting-Domänennamen, um Opfer anzulocken.
Präventive Maßnahmen und Empfehlungen
Um diese Risiken zu mindern, empfiehlt Microsoft verschiedene Strategien für Unternehmen, die Geschenkkarten anbieten. Dazu gehören die Verwendung sicherer Geschenkkartenplattformen mit integrierten Betrugsschutzdiensten, die Schulung der Mitarbeiter zum Erkennen und Vermeiden von Phishing-Versuchen sowie die Implementierung phishing-resistenter Multi-Faktor-Authentifizierungsmethoden (MFA). Durch die Einführung dieser Maßnahmen können sich Unternehmen besser vor den sich entwickelnden Taktiken von Cyberkriminellengruppen wie Storm-0539 schützen.
Organisationen sollten Geschenkkartenportale als hochwertige Ziele behandeln und kontinuierlich auf anomale Aktivitäten überwachen. Die Implementierung von Richtlinien für bedingten Zugriff und die Aufklärung von Sicherheitsteams über Social-Engineering-Taktiken sind wichtige Abwehrmaßnahmen. Um sich besser vor diesen Bedrohungen zu schützen, wird empfohlen, in Best Practices für die Cloud-Sicherheit zu investieren und das Prinzip der geringsten Zugriffsrechte anzuwenden.
