Microsoft i Cloudflare udružili su se kako bi oborili infrastrukturu koju je koristio servis RaccoonO365.
Microsoft i Cloudflare saopštili su u utorak da su zajednički djelovali na ometanju servisa RaccoonO365, koji je korišćen od strane hakera za krađu hiljada korisničkih kredencijala.
RaccoonO365, koji postoji više od godinu dana, iznajmljivan je hakerima po modelu „phishing-as-a-service“ (PhaaS), i to po cijeni od 355 dolara za mjesečni plan i 999 dolara za tromjesečni. Microsoft procjenjuje da je ova kriminalna operacija zaradila najmanje 100.000 dolara u kriptovalutama.
Servis je reklamiran putem Telegram kanala sa preko 850 članova, a Microsoft vjeruje da je RaccoonO365 imao između 100 i 200 pretplatnika.
RaccoonO365 omogućava kreiranje lažnih mejlova, priloga sa linkom ili QR kodom, kao i fišing sajtova dizajniranih da prevare žrtve i navedu ih da otkriju svoje Microsoft 365 korisničko ime i lozinku. Lažni mejlovi i sajtovi izgledaju uvjerljivo, a njihovo kreiranje ne zahtijeva napredne vještine.
Prema podacima Microsofta, od jula 2024. preko RaccoonO365 ukradeno je najmanje 5.000 kredencijala korisnika iz 94 države. Ipak, kompanija napominje da napadači vjerovatno nisu mogli iskoristiti sve kompromitovane podatke za pristup mrežama ili izvršavanje prevara.
Microsoft i Cloudflare djelovali su protiv RaccoonO365 na više frontova. Microsoft je u saradnji sa neprofitnom organizacijom Health-ISAC, koja se bavi sajber bezbjednošću u zdravstvu, podnio tužbu protiv operatera RaccoonO365.
Partnerstvo sa Health-ISAC objašnjava se time što je RaccoonO365 korišćen za napade na najmanje 20 zdravstvenih organizacija u SAD-u, što, kako navodi Microsoft, „ugrožava javnu bezbjednost“. Fišing mejlovi ovog servisa često vode do malvera i ransomware-a, što može imati ozbiljne posljedice po rad bolnica.
Pored tužbe, Microsoftova jedinica za digitalni kriminal (DCU) zaplijenila je preko 330 domena povezanih sa ovim fišing servisom, čime je narušena tehnička infrastruktura hakera i onemogućen dalji pristup žrtvama.
Cloudflare je učestvovao u operaciji jer su njegove usluge bile zloupotrebljene, između ostalog i za izbjegavanje analiza i detekcije.
„Prije nego što bi zahtjev stigao do pravog fišing servera, Cloudflare Workers skripta provjeravala je da li dolazi od sajber istraživača, automatskog skenera ili sandbox okruženja. Ako bi bili uočeni bilo kakvi pokazatelji, veza bi bila prekinuta ili bi klijent dobio poruku o grešci, što je efektivno sakrivalo fišing kit“, objasnila je kompanija.
Cloudflare je djelovao tokom nekoliko dana početkom septembra, a hakeri su u međuvremenu pokušali da se prilagode promjenama.
Kompanija je blokirala domene povezane sa RaccoonO365 i postavila upozorenja o fišingu, uklonila Workers skripte koje su koristili hakeri i suspendovala naloge povezane sa operacijom.
Pored gašenja infrastrukture, Microsoft je objavio da je identifikovao navodnog vođu RaccoonO365 operacije.
Osumnjičeni je Džošua Ogundipe, programer iz Nigerije. Microsoft vjeruje da je on napisao većinu koda, ali naglašava da je imao i nekoliko saradnika koji su pomagali u razvoju, korisničkoj podršci i prodaji.
Microsoft je obavijestio međunarodne organe reda o Ogundipeu.
Izvor: SecurityWeek