Nell’era delle transazioni digitali e dello shopping online, il crimine informatico rappresenta una minaccia sempre più preoccupante e, tra queste minacce, le frodi con carte regalo e carte di pagamento stanno diventando sempre più pervasiva ed evoluta. Microsoft esplora le tattiche, le tecniche e le procedure di un attore di minacce informatiche noto come Storm-0539, noto anche come Atlas Lion, e le sue attività nel furto di carte regalo.
Aumento delle attività di intrusione
Nel maggio 2024, Microsoft ha osservato un aumento del 30% nelle attività di Storm-0539 rispetto ai due mesi precedenti. Storicamente, questo gruppo aumenta le sue attività di attacco prima delle principali stagioni festive. Tra settembre e dicembre 2023, è stato osservato un aumento del 60% delle attività di intrusione, coincidente con le festività autunnali e invernali.
Tecniche di frode e metodi di intrusione
Storm-0539 opera dal Marocco e si occupa di crimini finanziari come la frode con carte regalo. Le loro tecniche includono phishing, smishing, registrazione di dispositivi nei sistemi delle vittime per ottenere accesso persistente e sfruttamento di tali accessi per colpire organizzazioni di terze parti. Una volta compromessi gli account dei dipendenti, gli attaccanti si spostano lateralmente attraverso la rete, cercando di identificare i processi aziendali legati alle carte regalo e di comprometterli.
Utilizzo delle risorse Cloud
Il gruppo utilizza le loro conoscenze approfondite del cloud per condurre ricognizioni sui processi di emissione delle carte regalo, sui portali delle carte regalo e sui dipendenti con accesso alle carte regalo. Questa abilità consente loro di creare infrastrutture di attacco basate sul cloud, evitando i costi iniziali comuni nell’economia del crimine informatico.
Difesa contro Storm-0539
Microsoft consiglia che, per difendersi dagli attacchi di Storm-0539, le organizzazioni devono trattare i portali delle carte regalo come obiettivi ad alto valore, monitorandoli e auditandoli continuamente per rilevare eventuali attività anomale. Implementare politiche di accesso con privilegi minimi e adottare un’architettura di sicurezza che preveda l’uso di MFA resistente al phishing sono alcune delle raccomandazioni chiave. Inoltre, educare i dipendenti sui rischi del phishing e smishing può aiutare a prevenire l’intrusione iniziale.
