La Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft obtuvo una importante victoria contra el mundo criminal cibernético después de liderar una operación para incautar 240 sitios web fraudulentos utilizados por un ciudadano egipcio, llamado hoy Abanoub Nady, que vendía kits de phishing hechos por usted mismo bajo la marca. nombre ONNX a los delincuentes menos expertos.
Nady, que utilizaba el identificador MRxD0DER, desarrolló y vendió los kits de phishing como servicio, que se utilizaron en múltiples campañas contra clientes de Microsoft en diversos sectores, aunque se entiende que la industria de servicios financieros fue la más atacada.
La DCU cree que los correos electrónicos provenientes de la ‘familia de productos’ ONNX constituyeron una porción significativa de las decenas a cientos de millones de phishing capturados en las redes de Microsoft cada mes; probablemente se encontraba entre las cinco principales operaciones de este tipo a nivel mundial.
Redmond dijo que al apuntar a ONNX, estaba interrumpiendo la cadena de suministro de ciberdelincuentes ilícitos y protegiendo a los clientes de amenazas posteriores como fraude, robo de datos y ransomware.
“Esta acción se basa en la estrategia de la DCU de perturbar el ecosistema cibercriminal más amplio y apuntar a las herramientas que los ciberdelincuentes utilizan para lanzar sus ataques”, explicó el asesor general adjunto de la DCU de Microsoft, Stephen Masada.
“Nuestro objetivo en todos los casos es proteger a los clientes separando a los malos actores de la infraestructura necesaria para operar y disuadir futuros comportamientos cibercriminales elevando significativamente las barreras de entrada y el costo de hacer negocios.
“Nos acompaña el co-demandante LF (Linux Foundation) Projects, LLC, el propietario de la marca registrada del nombre y logotipo de ONNX. ONNX u Open Neural Network Exchange es un formato estándar abierto y un tiempo de ejecución de código abierto para representar modelos de aprendizaje automático, lo que permite la interoperabilidad entre diferentes hardware, marcos y herramientas para una implementación y escalabilidad más sencilla”, dijo.
“Juntos, estamos tomando medidas afirmativas para proteger a los usuarios en línea a nivel mundial en lugar de quedarnos de brazos cruzados mientras actores maliciosos usan ilegalmente nuestros nombres y logotipos para mejorar la legitimidad percibida de sus ataques”.
Masada dijo que la DCU había optado unilateralmente por nombrar a Nady para que sirviera como elemento disuasivo adicional para otros.
Un portavoz de la Fundación Linux dijo: “En la Fundación Linux, defendemos la colaboración como una herramienta poderosa para abordar desafíos complejos. Hoy celebramos nuestra reciente colaboración con Microsoft para defender a millones de personas y organizaciones de una operación criminal global de phishing como servicio. Alentamos a las organizaciones que se encuentran en condiciones de luchar contra un elemento de un problema de delincuencia cibernética a identificar formas de colaborar y construir una respuesta colectiva más sólida”.
Microsoft en el caso
En los últimos meses se ha visto un aumento significativo en los sofisticados ataques de phishing de adversario en el medio (AitM), como los orquestados a través de ONNX en los últimos meses, en particular un aumento en el llamado quishing: phishing que utiliza códigos QR maliciosos.
Sin embargo, la acción de Microsoft contra ONNX es en realidad el resultado de una larga investigación que se remonta a 2017. A lo largo de los años, afirmó Microsoft, ha rastreado varias de las “empresas” de Nady, incluidas otras operaciones de phishing conocidas como Caffeine y FUHRER.
Todos sus kits fueron diseñados para enviar correos electrónicos a escala en campañas coordinadas, y ONNX se vendió en un modelo basado en suscripción con varios niveles de acceso y soporte, incluso un nivel VIP para los delincuentes más exigentes, que se beneficiaron de todo el sistema. Soporte técnico del reloj que ofrece orientación paso a paso.
ONNX se promocionó, vendió y configuró principalmente a través de la plataforma de mensajería Telegram, junto con videos de demostración. Una vez comprados, los clientes podían orquestar ataques utilizando las plantillas proporcionadas y la infraestructura técnica fraudulenta de ONNX, donde se les permitía conectar dominios maliciosos obtenidos de otros lugares.
Según una orden judicial civil, revelada hoy en el Distrito Este de Virginia, Microsoft se ha hecho cargo de esta infraestructura técnica, dejándola fuera de uso para futuros ataques.
Más por venir
Desafortunadamente, observó Masada, si bien la acción de la DCU perturbará sustancialmente ONNX, es seguro que otros actores de amenazas llenarán el vacío, con técnicas adaptadas.
“Sin embargo, tomar medidas envía un mensaje contundente a quienes optan por replicar nuestros servicios para dañar a los usuarios en línea: buscaremos soluciones de manera proactiva para proteger nuestros servicios y a nuestros clientes y estamos mejorando continuamente nuestras estrategias técnicas y legales para tener un mayor impacto”, afirmó. dicho.
“Además, a medida que los ciberdelincuentes continúan evolucionando sus métodos, es crucial que las organizaciones y las personas se mantengan informadas y alertas. Al comprender las tácticas empleadas por los ciberdelincuentes e implementar medidas de seguridad sólidas, podemos trabajar colectivamente para lograr un entorno digital más seguro. La colaboración continua, como la asociación con LF Projects, sigue siendo esencial si queremos hacer mella significativa en el panorama de las amenazas cibernéticas”.