Microsoft encerra rede de phishing RaccoonO365 e apreende 338 sites

A Unidade de Crimes Digitais (DCU) da Microsoft desativou um serviço de crimes cibernéticos chamado RaccoonO365. A empresa anunciou em 16 de setembro que, por meio de uma ordem judicial concedida pelo Distrito Sul de Nova York, apreendeu 338 sites vinculados à operação RaccoonO365, uma ferramenta popular para criminosos que buscavam roubar informações de usuários.

O RaccoonO365, que a Microsoft identifica como Storm-2246, oferecia um serviço de assinatura que permitia a qualquer pessoa, mesmo sem habilidades técnicas, roubar nomes de usuário e senhas do Microsoft 365 , conhecidos como credenciais. O serviço oferecia kits de phishing, ferramentas prontas para uso que imitam comunicações oficiais da Microsoft para induzir as pessoas a fornecerem suas informações.

Desde julho de 2024, o serviço foi usado para roubar pelo menos 5.000 credenciais da Microsoft de vítimas em 94 países, incluindo uma ampla campanha com temática tributária que teve como alvo mais de 2.300 organizações nos Estados Unidos. Embora nem todo roubo leve a uma invasão completa do sistema, o grande número de ataques demonstra a dimensão do problema.

Os efeitos do RaccoonO365 foram além do simples roubo de dados. Um dos usos mais preocupantes do serviço foi uma campanha de phishing em larga escala que teve como alvo pelo menos 20 organizações de saúde dos EUA.

Como e-mails de phishing frequentemente levam a ataques mais sérios, como ransomware, esses incidentes colocam a segurança pública em risco, atrasando os serviços aos pacientes e expondo dados confidenciais. É por isso que a DCU fez uma parceria com a Health-ISAC , uma organização sem fins lucrativos focada em segurança cibernética para o setor da saúde, para entrar com a ação judicial.

Durante a investigação, a DCU identificou o líder da operação como Joshua Ogundipe, um indivíduo da Nigéria. Ele e seus parceiros trabalharam juntos para criar, vender e manter o serviço. Eles vendiam seus serviços no aplicativo de mensagens Telegram , onde tinham mais de 850 membros e recebiam pelo menos US$ 100.000 em pagamentos em criptomoedas.

O grupo também começou recentemente a anunciar um novo serviço de IA, o RaccoonO365 AI-MailCheck, projetado para tornar seus ataques ainda mais eficazes. A Microsoft acredita que Ogundipe escreveu a maior parte do código do RaccoonO365.

O grupo teve o cuidado de ocultar suas identidades, mas um erro revelou uma carteira secreta de criptomoedas, o que ajudou o DCU a conectar Ogundipe à operação. As informações sobre Ogundipe foram enviadas às autoridades policiais internacionais para medidas cabíveis.

A operação demonstra como o crime cibernético agora é acessível e escalável para praticamente qualquer pessoa. Como observa a Microsoft, "os cibercriminosos não precisam ser sofisticados para causar danos generalizados". No entanto, essa ação envia "um sinal claro de que a Microsoft e seus parceiros permanecerão persistentes na perseguição daqueles que atacam nossos sistemas".

Para enfrentar isso, a Microsoft está usando novos métodos, como a ferramenta de análise de blockchain Chainalysis Reactor, que rastreia pagamentos em criptomoedas e identifica criminosos. A empresa também colabora frequentemente com empresas de segurança como a Cloudflare para derrubar sites maliciosos rapidamente.

Somando-se às soluções técnicas, os especialistas destacam o papel crucial das defesas humanas nessa luta. Erich Kron , defensor da conscientização sobre segurança na KnowBe4, comentou que "o phishing por e-mail continua sendo uma grande ameaça que as organizações enfrentam diariamente". Ele explicou que os serviços de phishing facilitam muito a entrada de criminosos sem conhecimento técnico no "jogo do crime cibernético".

Kron destacou que o roubo de credenciais pode ser especialmente perigoso porque "as pessoas tendem a reutilizar senhas em diferentes contas e serviços", o que significa que um invasor que rouba uma senha pode obter acesso a muitas outras contas.

Para combater isso, ele disse, as organizações precisam de um "programa bem estabelecido de gestão de risco humano (GRH)" para educar os usuários sobre como identificar páginas de login falsas e entender os perigos da reutilização de senhas. Em última análise, ele aconselha: "A MFA deve ser implantada sempre que possível para tornar a situação ainda mais difícil para invasores caso roubem as credenciais de alguém".