În ultimele luni, un serviciu de phishing a devenit sinonim cu sustragerea conturilor Microsoft 365: RaccoonO365, o platformă Phishing-as-a-Service care a facilitat extragerea a mii de credențiale la nivel global. Operațiunea a fost întreruptă în septembrie 2025 printr-o acțiune coordonată între Microsoft și echipele Cloudforce One și Trust and Safety ale Cloudflare, după ce ancheta urmărea o rețea activă de cel puțin șase luni.
RaccoonO365 funcționa ca un abonament pentru atacatori: oferea kituri de phishing gata de utilizat, ce replicau pagini legitime și includeau contramăsuri anti-bot, precum CAPTCHA-uri falsificate, pentru a ocoli analizele automate. În cadrul investigației, Microsoft a pus sub sechestru 338 de site-uri și conturi Worker asociate infrastructurii. Din mijlocul lui 2024 până în prezent, suspectații au sustras minimum 5.000 de credențiale Microsoft din 94 de țări. Un caz notabil: în aprilie 2025 a fost desfășurată o campanie de phishing cu tematică fiscală care a vizat peste 2.300 de organizații din Statele Unite. De asemenea, kiturile au fost folosite în atacuri asupra a peste 20 de entități din sectorul sănătății din SUA.
Datele colectate de atacatori, credențiale, cookie-uri și alte informații de acces la conturi OneDrive, SharePoint și email, au fost apoi folosite în tentative de fraudă financiară, operațiuni de șantaj sau pentru obținerea accesului inițial în sistemele altor victime. Microsoft avertizează asupra riscului public: astfel de emailuri de phishing sunt frecvent preludiul pentru implantarea de programe malițioase sau ransomware, cu efecte grave în spitale. Efectele concrete menționate includ întârzieri sau anulări ale serviciilor medicale, compromiterea rezultatelor de laborator și pierderi financiare importante, cu impact direct asupra pacienților.
Investigația a scos la iveală și aspecte organizaționale ale grupului. RaccoonO365 a operat pe bază de abonamente vândute printr-un canal privat de Telegram, care avea peste 840 de membri la 25 august 2025. Pachetele se vindeau între 355 de dolari pentru 30 de zile și 999 de dolari pentru 90 de zile, plățile realizându-se în criptomonede: USDT (TRC20, BEP20, Polygon) sau Bitcoin. Microsoft estimează venituri de cel puțin 100.000 de dolari în criptomonede, ceea ce indică între 100 și 200 de abonamente vândute, deși cifra reală ar putea fi mult mai mare. În cursul investigației, DCU l-a identificat pe liderul rețelei ca fiind Joshua Ogundipe, rezident în Nigeria, iar analiza sugerează că acesta ar fi autorul majorității codului din platformă. O eroare operațională, prin care actorii au expus accidental un portofel criptografic privat, a facilitat atribuirea activității și urmărirea fluxurilor financiare; Microsoft a înaintat o sesizare penală către autoritățile internaționale.
Cloudflare a evidențiat, de asemenea, elemente care sugerează colaborări cu vorbitori de rusă, cum ar fi denumirea în rusă a unui bot folosit pe canalul de Telegram. Această acțiune de dezactivare urmează unei operațiuni anterioare din mai, când Microsoft a pus sub sechestru 2.300 de domenii legate de Lumma, un alt serviciu malware-as-a-service cunoscut pentru furtul de informații.
Pe măsură ce serviciile PhaaS devin mai accesibile și considerentele etice devin irelevante pentru atacatori, rămâne valabil un îndemn practic: organizațiile trebuie să-și consolideze protecția conturilor Microsoft 365. Autentificarea multifactorială, monitorizarea accesului anormal și instruirea personalului pentru recunoașterea mesajelor de phishing pot diminua rapid suprafața de atac. Totodată, urmărirea fluxurilor financiare în criptomonede și cooperarea internațională rămân instrumente esențiale pentru legarea platformelor care furnizează astfel de servicii de actorii responsabili, așa cum s-a întâmplat în cazul atribuirii către Joshua Ogundipe.
RaccoonO365 se află acum sub presiune legală și tehnică, după sechestrarea celor 338 de resurse online și după sesizarea penală transmisă autorităților. Dacă modelul de afaceri bazat pe abonament persistă în rețelele de phishing, atunci lupta va fi nu doar tehnică, ci și financiară: blocarea fluxurilor de plată și a conturilor folosite pentru tranzacții în criptomonede poate reduce atractivitatea unei astfel de oferte. Care crezi că ar fi cea mai eficientă măsură pe care organizațiile medicale ar putea să o adopte imediat pentru a se apăra de astfel de campanii?
Fii primul care comentează