Компания Microsoft усилила свои усилия в борьбе с киберпреступностью, нацелившись на Raccoon0365 — подписочный сервис фишинга, позволявший красть учетные данные в широких масштабах. Через Окружной суд США в Манхэттене компания успешно получила разрешение на изъятие почти 340 интернет-доменов, связанных с мошенническими страницами входа.
Эта кампания стала одной из крупнейших операций Microsoft против организованного фишинга за последние годы. Ликвидируя домены, следователи стремились нарушить инфраструктуру, стоящую за продолжающимися атаками, которые затрагивали бизнес, медицинские учреждения и частных лиц по всей территории Соединенных Штатов.
Судебные действия и обвинения в руководстве
Судебные документы назвали гражданина Нигерии Джошуа Огундийпе организатором Raccoon0365. Согласно материалам дела, Огундийпе и его соратники управляли операцией с середины 2024 года, предлагая фишинговые наборы и шаблоны писем платным участникам.
Изъятые домены были центральным элементом деятельности группы, часто маскируясь под страницы входа в Microsoft Outlook и Office 365. Жертвы, вводившие свои учетные данные, невольно предоставляли доступ злоумышленникам, что позволяло несанкционированно проникать в почтовые аккаунты и корпоративные сети.
Попытки связаться с Огундийпе по указанным контактным данным остались без ответа. Правоохранительные органы продолжают исследовать дальнейшие финансовые и операционные связи.
Подписочная модель снижает барьеры входа
Raccoon0365 выделялся использованием подписочной системы. За регулярные взносы подписчики получали доступ к готовой фишинговой инфраструктуре, включая шаблоны страниц входа, автоматизированные инструменты рассылки и хостинг-сервисы.
По данным Microsoft, более 850 человек подписались на сервис через частный канал в Telegram. Такая схема значительно снижала барьеры для проведения киберпреступлений, позволяя менее технически подкованным участникам запускать фишинговые кампании в массовом порядке.
С момента запуска в июле 2024 года сервис принес не менее $100,000 дохода в криптовалюте. Платежи часто проводились через анонимные кошельки, что затрудняло финансовое отслеживание.
Целевые отрасли и организации
Судебные документы показали, что кампании Raccoon0365 активно нацелены на организации, базирующиеся в Нью-Йорке, со значительными доказательствами кражи учетных данных в бизнесе и правительственных секторах.
Microsoft задокументировала серию фишинговых атак, связанных с налоговой тематикой, имитирующих деятельность налоговых органов США и нацеленных более чем на 2,300 организаций по всей стране в течение двух недель.
Медицинские учреждения также часто становились жертвами. Эррол Вайс, главный директор по безопасности в Центре анализа и обмена информацией о здоровье (Health-ISAC), подтвердил, что как минимум пять медицинских организаций пострадали от атак, связанных с этой группой, при этом всего около 25 организаций были атакованы. Эти нападения создавали риск утечки конфиденциальных медицинских и личных данных.
Последствия кражи учетных данных
Кража учетных данных остается ведущей точкой входа для крупных кибератак. Получив имена пользователей и пароли, злоумышленники могут обходить системы безопасности, получать доступ к конфиденциальной информации или доводить дело до инцидентов с программами-вымогателями.
Вайс отметил, что «многие атаки начинаются с того, что кто-то передает свои учетные данные плохому человеку». Это наблюдение подчеркивает важность повышения осведомленности пользователей, использования многофакторной аутентификации и более надежных методов защиты личности.
Украденные данные могут также перепродаваться на подпольных рынках, создавая вторичные потоки доходов для преступных групп и подвергая жертв еще большему риску мошенничества.
Роль поставщиков услуг и правоохранительных органов
Компания Cloudflare, предоставляющая веб-инфраструктуру, была использована группой для сокрытия местоположения фишинговых серверов. Компания подтвердила, что сотрудничала с Microsoft и Секретной службой США для отключения учетных записей, связанных с операцией.
Блейк Дарше, глава отдела анализа угроз в Cloudflare, признал, что, несмотря на операционные ошибки Raccoon0365, сервис все же был весьма эффективен в обмане пользователей. Совместные действия помогли ограничить дальнейший ущерб путем блокировки новых регистраций и ликвидации существующей инфраструктуры.
Microsoft подчеркнула, что правоохранительные органы сыграли центральную роль в координированном подрыве, демонстрируя, как частные компании и государственные агентства могут работать вместе для снижения угроз киберпреступности.
Последствия для кибербезопасности
Ликвидация Raccoon0365 иллюстрирует более широкие проблемы в обеспечении кибербезопасности. Хотя подписочные модели делают фишинг более доступным, они также создают четкие цели для вмешательства, когда платформы или операторы могут быть идентифицированы.
Однако цикл часто повторяется, когда создаются новые группы, копирующие модель. Эксперты по кибербезопасности предупреждают, что, хотя подобные операции могут замедлить темп атак, необходима постоянная бдительность. Образование, более сильные методы аутентификации и скоординированное наблюдение остаются необходимыми для ограничения воздействия фишинга.
Microsoft указала, что, хотя ликвидация устранила сотни активных доменов, в будущем могут появиться новые сервисы. Компания продолжает мониторинг возникающих угроз и сотрудничает с отраслевыми партнерами для координации защитных стратегий.
Сайты фишинга, изъятые Microsoft в рамках крупной операции
Ликвидация Raccoon0365 подчеркивает как риски, связанные с киберпреступностью на основе подписки, так и важность координированных контрмер. Получив судебное разрешение на изъятие почти 340 доменов, Microsoft нарушила работу сервиса, который делал фишинг в масштабах доступным для сотен подписчиков.
Операция подчеркнула роль кражи учетных данных как ворот к более широким атакам, продемонстрировала уязвимости, с которыми сталкиваются такие отрасли, как здравоохранение и финансы, и показала важность сотрудничества между частными компаниями, поставщиками услуг и правоохранительными органами. Хотя ожидается, что фишинговые группы продолжат развиваться, этот случай иллюстрирует, как решительные правовые и технические действия могут подорвать преступные экосистемы и защитить пользователей от массовой эксплуатации учетных данных.
Очень интересно, как Microsoft смогла так быстро и эффективно действовать. Надеюсь, что такие операции помогут сократить количество мошеннических атак в будущем. Конечно, важно продолжать повышать осведомленность пользователей о рисках фишинга.
Подписочная модель действительно делает киберпреступность более доступной, что вызывает тревогу. Хорошо, что Microsoft и правоохранительные органы смогли вовремя вмешаться. Надеюсь, они смогут предотвратить появление подобных сервисов в будущем.
Случай с Raccoon0365 показывает, насколько важны совместные действия частных компаний и государственных структур. Такие операции могут значительно снизить угрозу кибератак, но пользователям все равно стоит быть бдительными и использовать многофакторную аутентификацию.