«Su principal motivación es robar tarjetas de regalo y lucrarse vendiéndolas en línea a un precio reducido», dijo la compañía en su último informe Cyber Signals. «Hemos visto ejemplos donde el actor de la amenaza ha robado hasta $100,000 en un día en ciertas empresas.»
Modus Operandi del Grupo Storm-0539
Storm-0539 fue destacado por Microsoft a mediados de diciembre de 2023, enlazándolo con campañas de ingeniería social antes de las fiestas de fin de año para robar credenciales y tokens de sesión de las víctimas a través de páginas de phishing Adversary-in-the-Middle (AitM).
El grupo, también llamado Atlas Lion y activo desde al menos finales de 2021, es conocido por abusar del acceso inicial para registrar sus propios dispositivos, evitar la autenticación y obtener acceso persistente, ganar privilegios elevados y comprometer servicios relacionados con tarjetas de regalo creando tarjetas de regalo ficticias para facilitar el fraude.
Métodos y Metas del Ataque
Las cadenas de ataque están diseñadas además para ganar acceso encubierto al entorno de la nube de la víctima, permitiendo al actor de la amenaza llevar a cabo un reconocimiento extenso y usar la infraestructura para alcanzar sus objetivos finales.
Los blancos de la campaña incluyen grandes minoristas, marcas de lujo y restaurantes de comida rápida bien conocidos. El objetivo final de la operación es canjear el valor asociado a esas tarjetas, vender las tarjetas de regalo a otros actores de amenazas en mercados negros, o usar mulas de dinero para cambiar las tarjetas de regalo por efectivo.
Evolución Táctica del Actor de Amenaza
El crimen dirigido a portales de tarjetas de regalo marca una evolución táctica del actor de la amenaza, el cual previamente se involucraba en el robo de datos de tarjetas de pago mediante el uso de malware en dispositivos de punto de venta (PoS).
El creador de Windows dijo que observó un aumento del 30% en la actividad de intrusión de Storm-0539 entre marzo y mayo de 2024, describiendo a los atacantes como aprovechando su profundo conocimiento de la nube para «realizar reconocimiento sobre los procesos de emisión de tarjetas de regalo de una organización».
A principios de este mes, el Federal Bureau of Investigation de EE.UU.
El FBI advierte sobre Ataques de Smishing por el Grupo Storm-0539
El FBI ha lanzado un comunicado [PDF] alertando sobre ataques de smishing perpetrados por el grupo Storm-0539, que tienen como objetivo los departamentos de tarjetas de regalo de corporaciones minoristas utilizando un kit de phishing sofisticado para eludir la autenticación multifactor (MFA).
Modus Operandis y Consecuencias
«En un caso, una corporación detectó la actividad fraudulenta de tarjetas de regalo de Storm-0539 en su sistema e implementó cambios para prevenir la creación de tarjetas de regalo fraudulentas», afirmó el FBI. «Los actores de Storm-0539 continuaron sus ataques de smishing y recuperaron el acceso a los sistemas corporativos. Luego, cambiaron de táctica a localizar tarjetas de regalo no canjeadas, cambiando las direcciones de correo electrónico asociadas a direcciones controladas por los actores de Storm-0539 para poder canjear las tarjetas de regalo».
Es destacable que las actividades de los actores amenazantes van más allá de robar las credenciales de inicio de sesión del personal de los departamentos de tarjetas de regalo. Sus esfuerzos también se extienden a adquirir contraseñas y claves de SSH, que podrían luego ser vendidas para obtener ganancias financieras o utilizadas en ataques secundarios.
Tácticas Avanzadas y Camuflaje
Otra táctica adoptada por Storm-0539 involucra el uso de listas de correo internas legítimas de la compañía para distribuir mensajes de phishing tras obtener acceso inicial, añadiendo una pátina de autenticidad a los ataques. También se ha encontrado que el grupo crea pruebas gratuitas o cuentas estudiantiles en plataformas de servicios en la nube para establecer nuevos sitios web.
El abuso de la infraestructura en la nube, incluyendo hacerse pasar por organizaciones sin fines de lucro legítimas ante los proveedores de servicios en la nube, es una señal de que los grupos motivados financieramente están tomando lecciones de los actores avanzados patrocinados por el estado para camuflar sus operaciones y permanecer indetectables.
Recomendaciones de Seguridad
Microsoft insta a las empresas que emiten tarjetas de regalo a tratar sus portales de tarjetas de regalo como objetivos de alto valor monitoreando para detectar inicios de sesión sospechosos.
«Las organizaciones también deberían considerar complementar la MFA con políticas de acceso condicional donde las solicitudes de autenticación son evaluadas usando señales adicionales impulsadas por identidad, como la información de ubicación de la dirección IP o el estado del dispositivo, entre otros», señala la compañía.
«Las operaciones de Storm-0539 son persuasivas debido al uso de un conjunto de tácticas avanzadas».
