Microsoft закрывает фишинговую сеть RaccoonO365 и блокирует 338 веб-сайтов

Подразделение Microsoft по борьбе с цифровыми преступлениями (DCU) заблокировало сервис по борьбе с киберпреступностью RaccoonO365. 16 сентября компания объявила , что по решению суда Южного округа Нью-Йорка были заблокированы 338 веб-сайтов, связанных с сервисом RaccoonO365, который был популярным инструментом для кражи данных пользователей.

RaccoonO365, отслеживаемый Microsoft как Storm-2246, предлагал услугу подписки, позволяющую любому человеку, даже без технических навыков, красть имена пользователей и пароли Microsoft 365 , известные как учётные данные. Сервис предоставлял фишинговые наборы — готовые к использованию инструменты, имитирующие официальные сообщения Microsoft, чтобы обманным путём заставить пользователей раскрыть свою информацию.

С июля 2024 года этот сервис был использован для кражи не менее 5000 учётных данных Microsoft у жертв в 94 странах, включая масштабную кампанию на налоговую тематику , охватившую более 2300 организаций в США. Хотя не каждая кража приводит к полному взлому системы, большое количество атак демонстрирует масштаб проблемы.

Последствия RaccoonO365 вышли за рамки простой кражи данных. Одним из наиболее тревожных случаев использования сервиса стала масштабная фишинговая кампания, направленная как минимум на 20 организаций здравоохранения США.

Поскольку фишинговые письма часто приводят к более серьёзным атакам, таким как атаки программ-вымогателей, эти инциденты ставят под угрозу общественную безопасность, задерживая обслуживание пациентов и раскрывая конфиденциальные данные. Именно поэтому DCU объединился с Health-ISAC , некоммерческой организацией, специализирующейся на кибербезопасности в сфере здравоохранения, для подачи иска.

В ходе расследования DCU установило личность руководителя операции: им оказался Джошуа Огундипе, выходец из Нигерии. Он и его партнёры работали вместе над созданием, продажей и поддержкой сервиса. Они продавали свои услуги через мессенджер Telegram , где у них было более 850 подписчиков, и получали не менее 100 000 долларов в криптовалюте.

Группа также недавно начала рекламировать новый сервис на базе искусственного интеллекта RaccoonO365 AI-MailCheck, призванный сделать их атаки ещё более эффективными. Microsoft считает, что большую часть кода для RaccoonO365 написал Огундипе.

Группа тщательно скрывала свои личности, но ошибка раскрыла секретный криптовалютный кошелёк, что помогло DCU подключить Огундипе к операции. Информация об Огундипе передана международным правоохранительным органам для дальнейших действий.

Эта операция демонстрирует, насколько киберпреступность теперь доступна и масштабируема практически для каждого. Как отмечает Microsoft, «киберпреступникам не нужно быть изощрёнными, чтобы причинить масштабный ущерб», однако эта операция подаёт «чёткий сигнал о том, что Microsoft и её партнёры будут продолжать упорно преследовать тех, кто атакует наши системы».

Чтобы противостоять этому, Microsoft использует новые методы, такие как инструмент анализа блокчейнов Chainalysis Reactor, который отслеживает криптовалютные платежи и идентифицирует преступников. Компания также часто сотрудничает с компаниями, занимающимися информационной безопасностью, такими как Cloudflare, для быстрого блокирования вредоносных веб-сайтов.

Помимо технических решений, эксперты подчеркивают решающую роль человеческой защиты в этой борьбе. Эрих Крон , специалист по повышению осведомлённости в области безопасности в KnowBe4, отметил, что «фишинг электронных писем продолжает оставаться серьёзной угрозой, с которой организации сталкиваются ежедневно». Он пояснил, что фишинговые сервисы значительно упрощают для преступников, не разбирающихся в технологиях, возможность попасть в «игру киберпреступности».

Крон отметил, что кража учетных данных может быть особенно опасна, поскольку «люди склонны повторно использовать пароли для разных учетных записей и сервисов», а это означает, что злоумышленник, укравший один пароль, может получить доступ ко многим другим учетным записям.

По его словам, чтобы противостоять этому, организациям необходима «эффективно отлаженная программа управления человеческими рисками (HRM)», которая объяснит пользователям, как выявлять поддельные страницы входа и понимать опасность повторного использования паролей. В конечном счёте, он рекомендует «всё возможное использовать многофакторную аутентификацию (MFA), чтобы ещё больше усложнить задачу злоумышленникам в случае кражи чьих-либо учётных данных».