Microsoft i Cloudflare rozbijają sieć phishingową RaccoonO365 – 338 domen przejętych
Gigantyczna akcja: Microsoft i Cloudflare przejmują 338 domen RaccoonO365, blokując globalne kampanie phishingowe
Microsoft wraz z Cloudflare zlikwidowali infrastrukturę grupy RaccoonO365 (Storm-2246), odpowiedzialnej za jedno z najgroźniejszych narzędzi phishing-as-a-service. Dzięki nakazowi sądu federalnego w Nowym Jorku udało się przejąć 338 domen, które od lipca 2024 r. służyły do kradzieży danych logowania do Microsoft 365.
Według Microsoftu, z użyciem zestawów RaccoonO365 wykradziono już ponad 5 000 kont w 94 krajach, a ataki były wymierzone m.in. w ponad 2 300 amerykańskich organizacji, w tym co najmniej 20 podmiotów z sektora zdrowia.
Model biznesowy usługodawców przypominał klasyczne SaaS – dostęp do pakietu phishingowego kosztował 355 USD miesięcznie lub 999 USD za kwartał. Subskrybenci mogli wprowadzać nawet 9 000 adresów e-mail dziennie, a system był przygotowany do obchodzenia zabezpieczeń MFA. Niedawno operatorzy wprowadzili też usługę AI-MailCheck, która zwiększała skuteczność ataków dzięki sztucznej inteligencji.
Za projektem stoi Joshua Ogundipe z Nigerii, który wraz ze wspólnikami prowadził kanał na Telegramie (850 członków) i zebrał co najmniej 100 tys. USD w kryptowalutach. Microsoft zidentyfikował go dzięki błędowi operacyjnemu – ujawnieniu portfela crypto – i skierował sprawę do międzynarodowych organów ścigania.
Microsoft i Cloudflare podkreślają, że działania mają charakter strategiczny, odchodząc od pojedynczych blokad w kierunku masowych, skoordynowanych operacji, które mają zwiększyć koszty dla cyberprzestępców i zniechęcić potencjalnych klientów takich usług.
