Investigadores da Unidade de Crimes Digitais (DCU) da Microsoft interromperam a rede por trás do raccoono365 perigoso365 Malware Infotealer Isso direcionou os nomes de usuário e as credenciais dos usuários do Workplace 365 depois de receber uma ordem judicial no Distrito Sul de Nova York.
A operação viu um whole de 338 websites vinculados ao malware common apreendido e sua infraestrutura técnica interrompeu, cortando o acesso dos usuários do Raccoono365 às suas vítimas.
Raccoono365-que foi rastreado na Matrix, ator de ameaças da Microsoft como Storm-2246-era relativamente pouco sofisticada, baseada em assinatura baseada em assinatura phishing Package que explorou a própria marca da Microsoft para fazer seus e -mails, anexos e websites falsos parecem realistas o suficiente para enganar as vítimas a interagir com eles.
Stephen Masada, da Microsoft, consultor geral assistente da DCU, disse que o caso mostrou que criminosos cibernéticos eficazes não precisava ser particularmente sofisticado Para ter um impacto: “Desde julho de 2024, os kits do Raccoono365 têm sido usados para roubar pelo menos 5.000 credenciais da Microsoft de 94 países.
“Embora nem todas as informações roubadas resultem em redes ou fraudes comprometidas devido à variedade de recursos de segurança empregados para remediar ameaças, esses números destacam a escala da ameaça e como a engenharia social continua sendo uma tática preferida para os criminosos cibernéticos.
“De maneira mais ampla, o rápido desenvolvimento, advertising and marketing e acessibilidade de serviços como o Raccoono365 indicam que estamos entrando em uma nova fase preocupante do crime cibernético, onde golpes e ameaças provavelmente se multiplicarão exponencialmente”.
A operação da DCU parece ter chegado no momento certo, como nos últimos 12 meses, a Microsoft disse que o Raccoono365 passou por uma rápida evolução técnica com atualizações regulares para atender à crescente demanda.
Entre outras coisas, os usuários foram capazes de inserir 9.000 endereços de email-alvo todos os dias e também poderiam “se beneficiar” de recursos de bordo que lhes permitiam contornar as salvaguardas de autenticação de vários fatores (MFA) e estabelecer acesso persistente aos computadores de suas vítimas.
Nos últimos meses, os operadores do Raccoono365 também começaram a anunciar um serviço de IA que supostamente permitiu aos usuários escalar suas operações e melhorar a eficácia de seus ataques.
Liderança identificada
Ao mesmo tempo, o DCU nomeou um cidadão nigeriano Joshua Ogundipe, como líder da empresa por trás do Raccoono365. Ele foi identificado após um lapso de segurança operacional no qual a gangue acidentalmente revelou uma carteira secreta de criptomoeda, que o DCU disse que ajudou bastante na atribuição.
Ele acusou a Ogundipe e os associados de vender seus serviços through telegrama para seus clientes, estimados em cerca de 100 a 200 assinaturas com base nos membros do grupo de 845 (a partir de 25 de agosto) – embora isso seja provavelmente subestimado.
De acordo com o Cloudflareque trabalhou com o DCU em toda a queda, o acesso ao equipment de phishing Raccoono365 foi vendido com base na assinatura, com planos de 30 dias disponíveis para planos de US $ 355 e 90 dias por US $ 999, pagáveis em várias formas de criptomoeda.
Juntamente com seus associados, Ogundipe, que supostamente tem experiência em programação de computadores e acredita -se que tenha escrito a maior parte do Raccoono365, administrou uma organização aparentemente profissional com desenvolvimento de desenvolvimento, vendas e suporte ao cliente.
Para ofuscar suas atividades, a gangue registrou vários domínios da Web com nomes e endereços falsos em todo o mundo, embora o Screengrabs do perfil do LinkedIn do Ogundipe compartilhado pelo DCU sugira que ele possa estar localizado na cidade de Benin, no sul da Nigéria.
Uma indicação prison para sua prisão foi divulgada à aplicação da lei internacional. No entanto, se ele enfrenta ou não a justiça é desconhecida, disse Masada.
“Os desafios legais persistem, especialmente em lugares onde é difícil processar criminosos cibernéticos. A coleta de retalhos de leis internacionais de hoje continua sendo um grande obstáculo e os criminosos cibernéticos exploram essas lacunas”, disse Masada.
“Os governos devem trabalhar juntos para alinhar suas leis de crimes cibernéticos, acelerar os processos transfronteiriços e fechar as brechas que permitem que os criminosos operem com impunidade. A comunidade internacional também deve apoiar os países que estão trabalhando para fortalecer suas defesas, responsabilizando aqueles que se apegam ao crime cibernético.
“Enquanto avançamos nos tribunais, organizações e indivíduos também devem continuar reforçando suas defesas. Isso significa Habilitando uma forte autenticação de vários fatores em contas, usando ferramentas atualizadas de anti-phishing e segurança e educando os usuários para permanecer vigilante contra golpes em evolução. ”
