La Unidad de Delitos Digitales (DCU) de Microsoft ha confiscado 240 sitios net fraudulentos asociados con un facilitador de delitos cibernéticos con sede en Egipto. Abanoub Nady (conocido en línea como “MRxC0DER”) desarrolló y vendió kits de phishing “hágalo usted mismo” y utilizó de manera fraudulenta la marca “ONNX” para vender estos servicios. Numerosos ciberdelincuentes y actores de amenazas en línea compraron estos kits y los utilizaron en campañas de phishing generalizadas para eludir medidas de seguridad adicionales e ingresar a las cuentas de los clientes de Microsoft. Si bien todos los sectores están en riesgo, la industria de servicios financieros ha sido fuertemente atacada debido a los datos y transacciones confidenciales que maneja. En estos casos, un phishing exitoso puede tener consecuencias devastadoras en el mundo actual para las víctimas. Puede resultar en la pérdida de importantes cantidades de dinero, incluidos ahorros de toda la vida, que, una vez robados, pueden ser muy difíciles de recuperar.
Los correos electrónicos de phishing que se originan en estos kits de “hágalo usted mismo” constituyen una parte importante de las decenas a cientos de millones de mensajes de phishing observados por Microsoft cada mes. Las operaciones fraudulentas de ONNX son parte de una estrategia más amplia “Phishing como servicio” (PhaaS) y como se señaló en el informe de este año Informe de defensa digital de Microsoft, la operación estuvo entre los cinco principales proveedores de kits de phishing por volumen de correo electrónico en la primera mitad de 2024. De manera muy comparable a cómo las empresas de comercio electrónico venden productos, Abanoub Nady y sus asociados comercializaron y vendieron sus ofertas ilícitas a través de escaparates de marca, incluido el fraudulento “ONNX”. Almacenar.” Al apuntar a este destacado servicio, DCU está alterando la cadena de suministro de los cibercriminales ilícitos, protegiendo así a los clientes de una variedad de amenazas posteriores, incluido el fraude financiero, el robo de datos y el ransomware.
Abordar las ciberamenazas emergentes para proteger a los usuarios en línea
La operación fraudulenta de ONNX ilustra la creciente sofisticación de las amenazas en línea, incluidas las sofisticadas “adversario en el medio”(AiTM) técnicas de phishing. A medida que las organizaciones fortalecen sus medidas de ciberseguridad, los ciberdelincuentes están evolucionando sus tácticas para evadirlas. Los ataques de phishing AiTM, en los que los atacantes se inyectan secretamente en las comunicaciones de la purple para robar credenciales y cookies utilizadas para autenticar la identidad de los usuarios, se han vuelto muy favorecidos, si no el método de referencia utilizado por actores maliciosos para eludir las protecciones adicionales de la autenticación multifactor. (MFA) defensas. Como se señaló en el informe de este año Informe de defensa digital de MicrosoftMicrosoft ha observado un aumento del 146% sólo en estos ataques AiTM.
FINRAla organización autorreguladora sin fines de lucro que supervisa a los corredores de bolsa estadounidenses, emitió recientemente una alerta cibernética públicaadvirtiendo de un aumento en los ataques de AiTM contra miembros impulsados por la operación fraudulenta de ONNX. En esta advertencia, FINRA destacó las nuevas técnicas empleadas por los ciberdelincuentes, incluido el phishing (quishing) con códigos QR para eludir las protecciones de ciberseguridad. “Quishing” utiliza códigos QR integrados que, si se escanean, dirigen a los usuarios en línea a dominios de suplantación de identidad maliciosos, generalmente una página de inicio de sesión falsa donde se solicita a los usuarios que ingresen sus credenciales. A partir de septiembre de 2023 aproximadamente, Los analistas de Microsoft observaron un aumento significativo de los intentos de phishing utilizando códigos QR (casi una cuarta parte de todos los phishing por correo electrónico). Estos ataques presentan un desafío único para los proveedores de ciberseguridad, ya que aparecen como una imagen ilegible.
Enviando un mensaje contundente a los ciberdelincuentes
Esta acción se basa en la estrategia de la DCU de alterar el ecosistema cibercriminal más amplio y apuntar a las herramientas que utilizan los ciberdelincuentes para lanzar sus ataques. Nuestro objetivo en todos los casos es proteger a los clientes separando a los malos actores de la infraestructura necesaria para operar y disuadir futuros comportamientos cibercriminales elevando significativamente las barreras de entrada y el costo de hacer negocios.
Nos acompaña el co-demandante LF (Linux Basis) Initiatives, LLC, el propietario de la marca registrada del nombre y logotipo reales registrados “ONNX”. “ONNX” o Intercambio de redes neuronales abiertas es un formato estándar abierto y un tiempo de ejecución de código abierto para representar modelos de aprendizaje automático, lo que permite la interoperabilidad entre diferentes {hardware}, marcos y herramientas para una implementación y escalabilidad más sencillas.
Juntos, estamos tomando medidas afirmativas para proteger a los usuarios en línea a nivel mundial en lugar de quedarnos de brazos cruzados mientras actores maliciosos usan ilegalmente nuestros nombres y logotipos para mejorar la legitimidad percibida de sus ataques. Además, y como lo ha hecho DCU en acciones anteriores en las que identificamos de forma independiente a un actor, hemos optado por nombrar públicamente a un acusado (Abanoub Nady, quien dirigió la operación fraudulenta de ONNX) para que sirva como un elemento disuasivo adicional para los ciberdelincuentes y los actores maliciosos en línea.
Sobre la operación prison fraudulenta de ONNX
Muchas empresas de ciberseguridad han investigado y publicado informes sobre la operación fraudulenta de ONNX, incluido DarkAtlas, que Abanoub Nady a principios de este año y EclecticIQ, que detalla cómo se estaban utilizando operaciones fraudulentas de ONNX para atacar a instituciones financieras. Microsoft ha rastreado la actividad vinculada a la operación de Abanoub Nady desde 2017. Nady usó fraudulentamente la marca ONNX, pero también usó otros nombres en su operación, incluido “Caffeine” y más recientemente DCU observaron a Nady dirigiendo la operación “FUHRER”. Los kits de phishing están diseñados para enviar correos electrónicos a escala, específicamente para campañas de phishing coordinadas. Por ejemplo, la operación fraudulenta de ONNX ofrece un modelo de suscripción que ofrece suscripciones Básica, Profesional y Empresarial, cada una para diferentes niveles de acceso y soporte. Los usuarios empresariales también pueden comprar la función complementaria de “Soporte VIP ilimitado”, que es esencialmente soporte técnico continuo que proporciona instrucciones paso a paso sobre cómo utilizar con éxito los kits de phishing para cometer delitos cibernéticos.
Los kits de phishing se promocionan, venden y configuran casi exclusivamente a través de Telegram, como se muestra en el siguiente ejemplo, que se combinan con movies de instrucciones en plataformas de redes sociales que brindan orientación sobre la compra e implementación de estos kits de phishing.
Una vez que se compra un equipment, los clientes ciberdelincuentes pueden realizar sus propios ataques de phishing utilizando las plantillas proporcionadas y la infraestructura técnica fraudulenta de ONNX. Pueden utilizar dominios que compren en otro lugar y conectarse a la infraestructura técnica fraudulenta de ONNX, lo que permite que sus operaciones de phishing crezcan y escale.
A través de una orden judicial civil revelada hoy en el Distrito Este de Virginia, esta acción redirige la infraestructura técnica maliciosa a Microsoft, cortando el acceso de los actores de amenazas, incluida la operación fraudulenta de ONNX y sus clientes de delitos cibernéticos, y deteniendo permanentemente el uso de estos dominios en phishing. ataques en el futuro.
Continuando nuestra lucha contra las herramientas que utilizan los ciberdelincuentes en sus ataques
Como hemos dicho antes, ninguna disrupción se completa con una sola acción. Combatir eficazmente el cibercrimen requiere persistencia y vigilancia continua para alterar la nueva infraestructura maliciosa. Si bien la acción authorized de hoy obstaculizará sustancialmente las operaciones fraudulentas de ONNX, otros proveedores llenarán el vacío y esperamos que los actores de amenazas adapten sus técnicas en respuesta. Sin embargo, tomar medidas envía un mensaje contundente a quienes eligen replicar nuestros servicios para dañar a los usuarios en línea: buscaremos soluciones de manera proactiva para proteger nuestros servicios y a nuestros clientes y estamos mejorando continuamente nuestras estrategias técnicas y legales para tener un mayor impacto.
Además, a medida que los ciberdelincuentes continúan evolucionando sus métodos, es essential que las organizaciones y las personas se mantengan informadas y alertas. Al comprender las tácticas empleadas por los ciberdelincuentes e implementar medidas de seguridad sólidas, podemos trabajar colectivamente para lograr un entorno digital más seguro. La colaboración continua, como la asociación con LF Initiatives, sigue siendo esencial si queremos hacer mella significativa en el panorama de las amenazas cibernéticas.
La DCU de Microsoft cContinuar buscando formas creativas de proteger a las personas en línea y trabajar con otros en los sectores público y privado a nivel mundial para interrumpir y disuadir significativamente el ciberdelito.
11 de noviembre de 2024, 11:48a PT: actualizado para incluir investigaciones adicionales sobre las operaciones fraudulentas de ONNX por parte de otras empresas de ciberseguridad.
