En el panorama en constante evolución de las ciberamenazas, mantenerse por delante de los actores maliciosos es un desafío constante.
Microsoft Threat Intelligence ha observado que las tarjetas de regalo son objetivos atractivos para el fraude y las prácticas de ingeniería social. A diferencia de las tarjetas de crédito o débito, no hay un nombre de cliente o una cuenta bancaria adjunta a ellas, lo que puede disminuir el escrutinio de su uso en potencia sospechoso en algunos casos y presentar a los ciberdelincuentes un tipo diferente de superficie de tarjeta de pago para estudiar y explotar.
Microsoft ha visto un aumento en la actividad del grupo de actores de amenazas Storm-0539, también conocido como Atlas Lion, en torno a los días festivos de Estados Unidos, incluidos el Día de los Caídos, el Día del Trabajo, el Día de Acción de Gracias, el Viernes Negro y la Navidad. Antes del Día de los Caídos de 2024, Microsoft ha observado un aumento del 30% en la actividad de Storm-0539 entre marzo y mayo de 2024.
La última edición de Cyber Signals se sumerge a fondo en el mundo del fraude con tarjetas de regalo, para arrojar luz sobre Storm-0539 y sus sofisticadas técnicas de ciberdelincuencia y persistencia, al tiempo que brinda orientación a los minoristas sobre cómo adelantarse a estos riesgos.
La evolución de Storm-0539 (Atlas Lion)
Activo desde finales de 2021, este grupo de ciberdelincuencia representa una evolución de los actores de amenazas que antes se especializaban en ataques de malware en dispositivos de punto de venta (POS, por sus siglas en inglés) como cajas registradoras y quioscos minoristas para comprometer los datos de las tarjetas de pago, y hoy se adaptan para apuntar a los servicios de identidad y en la nube para atacar de manera constante los sistemas de pago y tarjetas asociados con los grandes minoristas, marcas de lujo, y conocidos restaurantes de comida rápida.
Estrategias sofisticadas
Lo que distingue a Storm-0539 es su profundo conocimiento de los entornos en la nube, que explota para realizar un reconocimiento de los procesos de emisión de tarjetas de regalo de las organizaciones y el acceso de los empleados. Su enfoque para comprometer los sistemas en la nube para obtener privilegios de identidad y acceso de gran alcance refleja el oficio y la sofisticación que se ven de manera típica en los actores de amenazas patrocinados por estados-nación, excepto que en lugar de recopilar correos electrónicos o documentos para espionaje, Storm-0539 obtiene y utiliza acceso persistente para secuestrar cuentas y crear tarjetas de regalo con fines maliciosos y no se dirige sólo a los consumidores. Después de obtener acceso a una sesión inicial y a un token, Storm-0539 registrará sus propios dispositivos maliciosos en las redes de las víctimas para las posteriores solicitudes de autenticación secundaria, para eludir de manera eficaz las protecciones de autenticación multifactor y persistir en un entorno que utiliza la identidad ahora comprometida por completo.
Un manto de legitimidad
Para pasar desapercibida, Storm-0539 adopta la apariencia de organizaciones legítimas, para obtener recursos de proveedores de nube con el pretexto de ser organizaciones sin fines de lucro. Crea sitios web convincentes, a menudo con nombres de dominio engañosos de «typosquatting» con unos pocos caracteres diferentes de los sitios web auténticos, para atraer a víctimas desprevenidas, lo que demuestra aún más su astucia e ingenio.
Defenderse de la tormenta
Las organizaciones que emiten tarjetas de regalo deben tratar sus portales de tarjetas de regalo como objetivos de alto valor para los ciberdelincuentes y deben centrarse en la supervisión continua y la auditoría de actividades anómalas. La implementación de políticas de acceso condicional y la educación de los equipos de seguridad sobre tácticas de ingeniería social son pasos cruciales para fortalecer las defensas contra actores tan sofisticados. Dada la sofisticación y el profundo conocimiento de los entornos en la nube de Storm-0539, se recomienda que ustedes también inviertan en las mejores prácticas de seguridad en la nube, implementen políticas de riesgo de inicio de sesión, realicen la transición a la autenticación multifactor resistente a la suplantación de identidad (phishing) y apliquen el principio de acceso con privilegios mínimos.
Al adoptar estas medidas, las organizaciones pueden mejorar su resiliencia frente a ciberdelincuentes enfocados como Storm-0539, al tiempo que mantienen las opciones de regalos, pagos y otras tarjetas de confianza como servicios atractivos y flexibles para los clientes. Para obtener más información sobre la información más reciente sobre inteligencia sobre amenazas, visiten Microsoft Security Insider.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
Por: Vasu Jakkal, vicepresidenta corporativa de seguridad, cumplimiento, identidad y gestión.