Подразделение Microsoft по борьбе с цифровыми преступлениями координировало арест 338 доменов, используемых RaccoonO365 — финансово мотивированной группой хакеров, которая разрабатывала и продавала фишинговые наборы, с помощью которых с июля 2024 года было украдено более 5000 учетных данных Microsoft, сообщила компания во вторник.
Группа угроз, которую Microsoft отслеживает как Storm-2246, позволила киберпреступникам украсть учетные данные организаций, охватывающих 94 страны, что сделало ее «самым быстрорастущим инструментом, используемым киберпреступниками для кражи имен пользователей и паролей Microsoft 365», — сообщил в своем блоге Стивен Масада, помощник главного юрисконсульта DCU Microsoft .
Ранее в этом году сервисы RaccoonO365 использовались для неизбирательного фишинга, направленного против более чем 2300 американских организаций в рамках фишинговой кампании, связанной с налогообложением . По данным Microsoft, её наборы, использующие брендинг Microsoft для мошеннических электронных писем, вложений и веб-сайтов, также были использованы против как минимум 20 американских организаций здравоохранения.
«Быстрое развитие, маркетинг и доступность таких сервисов, как RaccoonO365, указывают на то, что мы вступаем в новую тревожную фазу киберпреступности, когда количество мошенничеств и угроз, вероятно, будет расти в геометрической прогрессии», — сказал Масада.
Действуя на основании судебного решения, выданного Окружным судом США по Южному округу Нью-Йорка, компания Microsoft совместно с Cloudflare конфисковала и вывела из строя инфраструктуру RaccoonO365. Компания также сотрудничала с Chainalysis для отслеживания криптовалютных транзакций этой группы, что позволило ей соотнести вредоносную онлайн-активность с реальными лицами.
Microsoft обвиняет Джошуа Огундипе из Нигерии в руководстве преступной организацией, которая продавала фишинговые наборы более чем 850 участникам сообщества Telegram. Огундипе и его сообщники получили не менее 100 000 долларов в криптовалюте, что, по оценкам, отражает до 200 подписок.
«В ходе расследования DCU напрямую взаимодействовало с источником угрозы, не раскрывая своей личности, чтобы получить фишинговые наборы», — заявил Морис Мейсон, главный следователь по киберпреступлениям в DCU компании Microsoft, в ходе сеанса вопросов и ответов с Chainalysis .
Мейсон добавил, что в ходе отдельной покупки предполагаемый киберпреступник непреднамеренно предоставил адрес криптовалютного кошелька для оплаты, что позволило следователям отследить средства до кошелька, размещенного на нигерийской криптовалютной бирже, ранее связанной с Огундипе.
Microsoft заявила, что Огундипе имеет опыт в программировании, и обвинила его в написании большинства
кода фишингового сервиса, работающего по подписке, который позволяет киберпреступникам отправлять до 9000 фишинговых писем в день. Следователи заявили, что RaccoonO365 мог способствовать передаче сотен миллионов вредоносных писем.
Компания Microsoft, которая направила уголовное дело в отношении Огундипе в международные правоохранительные органы, также выразила сохраняющееся недовольство сохраняющимися правовыми проблемами.
«Сегодняшняя разрозненность международных законов остаётся серьёзным препятствием, и киберпреступники пользуются этими пробелами», — сказал Масада. «Правительства должны работать сообща, чтобы согласовать свои законы о киберпреступности, ускорить трансграничное преследование и закрыть лазейки, позволяющие преступникам действовать безнаказанно».
Исследователи Cloudflare сообщили в блоге , что комплекты RaccoonO365 отправляли жертвам электронные письма с вредоносными вложениями, ссылками или QR-кодами, которые перенаправляли пользователей на поддельную страницу входа в Microsoft O365 для сбора учётных данных . Когда жертвы вводили учётные данные, комплект позволял злоумышленникам перехватывать пароль и соответствующие сеансовые cookie-файлы, обходя многофакторную аутентификацию.
По данным Cloudflare, кодовая база включала функции для противодействия анализу и обхода блокировок, фильтрации пользовательских агентов, обхода поставщиков безопасности, блокировки на уровне сети и динамической маршрутизации трафика.
Фишинговые письма часто служили предвестником вредоносных программ и программ-вымогателей, однако, по данным Microsoft, не все украденные учётные данные приводили к взлому сетей или мошенничеству. Компания заявила, что всегда ожидает, что киберпреступники попытаются восстановить работу после сбоя, и пообещала принять дополнительные меры для демонтажа любой новой или вновь создаваемой инфраструктуры.
Группа угроз, которую Microsoft отслеживает как Storm-2246, позволила киберпреступникам украсть учетные данные организаций, охватывающих 94 страны, что сделало ее «самым быстрорастущим инструментом, используемым киберпреступниками для кражи имен пользователей и паролей Microsoft 365», — сообщил в своем блоге Стивен Масада, помощник главного юрисконсульта DCU Microsoft .
Ранее в этом году сервисы RaccoonO365 использовались для неизбирательного фишинга, направленного против более чем 2300 американских организаций в рамках фишинговой кампании, связанной с налогообложением . По данным Microsoft, её наборы, использующие брендинг Microsoft для мошеннических электронных писем, вложений и веб-сайтов, также были использованы против как минимум 20 американских организаций здравоохранения.
«Быстрое развитие, маркетинг и доступность таких сервисов, как RaccoonO365, указывают на то, что мы вступаем в новую тревожную фазу киберпреступности, когда количество мошенничеств и угроз, вероятно, будет расти в геометрической прогрессии», — сказал Масада.
Действуя на основании судебного решения, выданного Окружным судом США по Южному округу Нью-Йорка, компания Microsoft совместно с Cloudflare конфисковала и вывела из строя инфраструктуру RaccoonO365. Компания также сотрудничала с Chainalysis для отслеживания криптовалютных транзакций этой группы, что позволило ей соотнести вредоносную онлайн-активность с реальными лицами.
Microsoft обвиняет Джошуа Огундипе из Нигерии в руководстве преступной организацией, которая продавала фишинговые наборы более чем 850 участникам сообщества Telegram. Огундипе и его сообщники получили не менее 100 000 долларов в криптовалюте, что, по оценкам, отражает до 200 подписок.
«В ходе расследования DCU напрямую взаимодействовало с источником угрозы, не раскрывая своей личности, чтобы получить фишинговые наборы», — заявил Морис Мейсон, главный следователь по киберпреступлениям в DCU компании Microsoft, в ходе сеанса вопросов и ответов с Chainalysis .
Мейсон добавил, что в ходе отдельной покупки предполагаемый киберпреступник непреднамеренно предоставил адрес криптовалютного кошелька для оплаты, что позволило следователям отследить средства до кошелька, размещенного на нигерийской криптовалютной бирже, ранее связанной с Огундипе.
Microsoft заявила, что Огундипе имеет опыт в программировании, и обвинила его в написании большинства
кода фишингового сервиса, работающего по подписке, который позволяет киберпреступникам отправлять до 9000 фишинговых писем в день. Следователи заявили, что RaccoonO365 мог способствовать передаче сотен миллионов вредоносных писем.
Компания Microsoft, которая направила уголовное дело в отношении Огундипе в международные правоохранительные органы, также выразила сохраняющееся недовольство сохраняющимися правовыми проблемами.
«Сегодняшняя разрозненность международных законов остаётся серьёзным препятствием, и киберпреступники пользуются этими пробелами», — сказал Масада. «Правительства должны работать сообща, чтобы согласовать свои законы о киберпреступности, ускорить трансграничное преследование и закрыть лазейки, позволяющие преступникам действовать безнаказанно».
Исследователи Cloudflare сообщили в блоге , что комплекты RaccoonO365 отправляли жертвам электронные письма с вредоносными вложениями, ссылками или QR-кодами, которые перенаправляли пользователей на поддельную страницу входа в Microsoft O365 для сбора учётных данных . Когда жертвы вводили учётные данные, комплект позволял злоумышленникам перехватывать пароль и соответствующие сеансовые cookie-файлы, обходя многофакторную аутентификацию.
По данным Cloudflare, кодовая база включала функции для противодействия анализу и обхода блокировок, фильтрации пользовательских агентов, обхода поставщиков безопасности, блокировки на уровне сети и динамической маршрутизации трафика.
Фишинговые письма часто служили предвестником вредоносных программ и программ-вымогателей, однако, по данным Microsoft, не все украденные учётные данные приводили к взлому сетей или мошенничеству. Компания заявила, что всегда ожидает, что киберпреступники попытаются восстановить работу после сбоя, и пообещала принять дополнительные меры для демонтажа любой новой или вновь создаваемой инфраструктуры.
