Nicolai Busekist
Et samarbejde mellem Microsoft og Cloudflare har båret frugt, da de sammen har formået at nedlægge et stort phishing-netværk.
I samarbejde har Microsofts Digital Crimes Unit og Cloudflare meddelt, at de med succes har forstyrret en phishing-tjeneste, som hjalp kriminelle med at stjæle tusindvis af brugernavne og adgangskoder til Microsoft 365.
Microsoft har overvåget netværket under navnet Storm-2246. Gruppen solgte abonnementsløsninger kaldet RaccoonO365, som efterlignede officielle Microsoft-beskeder og login-sider.
Siden juli 2024 har disse kits hjulpet kriminelle med at stjæle mindst 5.000 sæt loginoplysninger fra ofre i 94 forskellige lande. Microsoft identificerede gruppens leder som Joshua Ogundipe, der er bosat i Nigeria, og oplyste, at tjenesten blev markedsført via Telegram med flere hundrede abonnenter.
Microsofts Digital Crimes Unit har beslaglagt 338 hjemmesider, som gruppen brugte, efter at have opnået en retskendelse fra den sydlige retskreds i New York.
“Denne sag viser, at cyberkriminelle ikke behøver at være avancerede for at forårsage omfattende skade – simple værktøjer som RaccoonO365 gør cyberkriminalitet tilgængelig for stort set alle og bringer millioner af brugere i fare,” advarede Microsoft ifølge TechRadar.
Cloudflare oplyste, at deres Cloudforce One samt Trust and Safety-teams arbejdede sammen med Microsoft for at nedbryde den infrastruktur, der understøttede tjenesten.
Ifølge Cloudflare brugte de omtalte phishing-kits en simpel CAPTCHA-skærm og anti-bot-funktioner for at fremstå legitime, hvorefter ofrene blev sendt videre til falske Microsoft–sider. Når ofrene indtastede deres oplysninger, kunne hackerne desuden omgå tofaktorgodkendelse og stjæle sessionscookies.
Cloudflare deaktiverede de ondsindede Worker-konti og opsatte advarselsbeskeder foran de inficerede domæner for at afskære adgangen.
Phishingtjenesten fungerede med en model baseret på abonnement, hvor adgang til ‘RaccoonO365 Suite’ kostede 355 dollars for 30 dage eller 999 dollars for 90 dage. Betaling blev udelukkende accepteret i kryptovaluta.
Microsoft anslår, at operationen allerede har genereret mindst 100.000 dollars i indtægter, men det reelle beløb er sandsynligvis højere. Begge virksomheder beskrev indsatsen som en del af en bredere strategi for at nedbryde phishing-tjenester, der sælges som en service.
“Vores respons markerer et strategisk skifte fra reaktive nedlukninger af enkelte domæner til proaktive, storskala forstyrrelser,” sagde Cloudflare.
“Vi ønsker markant at øge RaccoonO365’s driftsomkostninger og sende et klart signal til andre ondsindede aktører: Selv ‘de gratis versioner’ er blevet for dyr for kriminelle.”
