Microsoft ha presentado la última edición de Cyber Signals, informe trimestral en el que la compañía analiza el panorama de amenazas, así como las tácticas y técnicas más utilizadas por los ciberdelincuentes. En esta edición destaca el caso de Storm-0539, un grupo de ciberdelincuentes también conocido como «Atlas Lion».
Este grupo ha llevado un paso más allá el robo basado en tarjetas de regalo. En lugar de estafar o suplantar directamente a los usuarios para realizar pagos con las tarjetas de regalo, Storm-0539 se infiltra en las plataformas de comercios, principalmente de EEUU, utilizando tácticas de phishing, smishing (phishing a través de SMS), registro de dispositivos y robo de tokens.
Así, acceden a los sistemas corporativos y cuentas de empleados de grandes minoristas, marcas de lujo y restaurantes de comida rápida que emiten tarjetas regalo. De este modo, los ciberdelincuentes logran emitir códigos de tarjetas de regalo de manera fraudulenta para sí mismos. Es decir, virtualmente “imprimen dinero” válido para pagar en los comercios que después canjean o venden en el mercado negro.
Habilidades de este grupo criminal
El documento de Microsoft describe los orígenes, las técnicas y el conjunto de habilidades únicas de Storm-0539:
- El grado de sofisticación de Storm-0539 y su capacidad para aprovechar los entornos cloud son similares a los que Microsoft observa en las amenazas patrocinadas por Estados-nación. Estas capacidades se observan también en otros grupos como Octo Tempest. A diferencia de la mayoría de los ciberdelincuentes, que pasan a nuevos objetivos una vez que completan uno, Storm-0539 permanece infiltrado en los sistemas para seguir generando códigos de tarjetas de forma recurrente.
- Storm-0539 dispone de capacidades avanzadas de reconocimiento y camuflaje: El grupo lleva a cabo una investigación exhaustiva sobre el proceso comercial de las tarjetas regalo, los proveedores de servicios de identidad y los empleados de las organizaciones objetivo. Los ciberdelincuentes también se hacen pasar por organizaciones sin ánimo de lucro para obtener recursos en la nube gratuitos o con descuento y dominios que se asemejan mucho a los servicios legítimos para reforzar su credibilidad y maximizar el impacto de sus ataques.
- La actividad de Storm-0539 aumenta durante los periodos clave para el comercio: Microsoft ha observado un aumento del 60% en la actividad de intrusión de Storm-0539 entre septiembre y diciembre de 2023, y un aumento del 30% en mayo de 2024. El grupo se aprovecha de la gran demanda de tarjetas regalo durante estos momentos.
- Aplicación global: Las tarjetas regalo suelen ser aceptadas en una amplia gama de minoristas, tanto online como offline, lo que las hace valiosas en diversas ubicaciones y mercados. Esta facilidad de uso global aumenta su atractivo para los ciberdelincuentes que operan a escala internacional.