Microsoft a identifié une recrudescence des activités frauduleuses de la part du groupe cybercriminel basé au Maroc Storm-0539, également connu comme Atlas Lion, ciblant les systèmes de cartes cadeaux pendant les périodes de vacances. Le groupe, actif depuis fin 2021, est passé de l’attaque des caisses enregistreuses et des kiosques à la compromission des services de cloud et d’identité en ligne. Cette évolution leur a permis d’infiltrer les portails de cartes cadeaux des grands détaillants et d’autres entreprises.
Tactiques et méthodes avancées
Storm-0539 utilise des techniques sophistiquées pour violer les systèmes de cartes-cadeaux. Dans un premier temps, le groupe rassemble des informations critiques telles que les annuaires d’employés, les listes de contacts et les boîtes de réception de courrier électronique des organisations ciblées. Ils envoient ensuite des textos de smishing (messages frauduleux visant à voler des informations personnelles) sur les téléphones personnels et professionnels des employés.. Une fois le compte d’un employé compromis, les attaquants se déplacent latéralement à travers le réseau, identifiant le processus commercial des cartes cadeaux et ciblant les comptes liés à ce portefeuille.
En accédant au portail de cartes cadeaux d’une entreprise, Storm-0539 peut créez de nouvelles cartes-cadeaux à échanger vous-même ou vendez-les à d’autres groupes cybercriminels sur le marché noir. Le groupe a également la possibilité d’encaisser la valeur de ces cartes. Microsoft note que les périodes de magasinage des fêtes telles que le Memorial Day, le 4 juillet, la fête du Travail et les fêtes de fin d’année voient souvent une augmentation des activités frauduleuses à cause de la tempête-0539.
Activité et évolution accrues
Microsoft observé une augmentation de 30 % de l’activité suite à la tempête-0539 entre mars et mai 2024. Le groupe est passé du ciblage des appareils de point de vente à l’attaque des services cloud et d’identité. Storm-0539 utilise des méthodes sophistiquées pour obtenir un accès persistant aux environnements cloud, imitant les acteurs menaçants parrainés par les États-nations. Le groupe enregistre ses propres appareils malveillants sur les réseaux des victimes pour contourner les protections d’authentification multifactorielle.
Les cartes cadeaux sont particulièrement attrayantes pour les cybercriminels car elles ne contiennent pas de nom de client ni de compte bancaire, ce qui peut réduire le contrôle de leur utilisation. Cet anonymat en fait une cible lucrative pour des groupes comme Storm-0539. Le groupe adopte souvent l’apparence d’organisations légitimes, utilisant des noms de domaine typosquattés pour attirer les victimes.
Mesures préventives et recommandations
Pour atténuer ces risques, Microsoft recommande plusieurs stratégies pour les entreprises proposant des cartes-cadeaux. Il s’agit notamment de l’utilisation de plates-formes de cartes-cadeaux sécurisées avec des services intégrés de protection contre la fraude, de la formation des employés à reconnaître et à éviter les tentatives de phishing et de la mise en œuvre de méthodes d’authentification multifacteur (MFA) résistantes au phishing. En adoptant ces mesures, les entreprises peuvent mieux se protéger contre les tactiques évolutives des groupes cybercriminels comme Storm-0539.
Les organisations devraient traiter les portails de cartes-cadeaux comme des cibles de grande valeur et surveiller en permanence les activités anormales. La mise en œuvre de politiques d’accès conditionnel et la formation des équipes de sécurité aux tactiques d’ingénierie sociale sont des mesures défensives cruciales. Il est recommandé d’investir dans les bonnes pratiques de sécurité du cloud et d’appliquer le principe d’accès au moindre privilège pour mieux se protéger contre ces menaces.
