janews – shutterstock.com
Die Digital Crimes Unit (DCU) von Microsoft hat die Phishing-as-a-Service-Plattform RaccoonO365 lahmgelegt. Wie das Unternehmen aus Redmond berichtet, wurden dabei 338 Webseiten beschlagnahmt, um die Infrastruktur zu zerstören.
Das von Microsoft als Storm-2246 verfolgte kriminelle Netzwerk hinter der Plattform hat sich auf Aboangebote für Phishing-Kits spezialisiert. Den Ermittlern zufolge konnten damit sogar Angreifer mit weniger technischem Geschick täuschend echte Microsoft-Loginseiten erstellen, um Zugangsdaten zu stehlen.
Phishing-Dienst mit rasanter Entwicklung
Nach Angaben von DCU wurden auf diese Weise seit Juli 2024 mehr als 5.000 Accounts in 94 Ländern kompromittiert. So ermöglichte es RaccoonO365 Cyberkriminellen, täglich bis zu 9.000 E-Mail-Adressen von potenziellen Opfern einzugeben. Dies führte zu einem Multiplikationseffekt, der nach Schätzungen der Ermittler jährlich Hunderte Millionen bösartige Nachrichten generierte. Zudem stellte Microsoft fest, dass der Dienst die Multi-Faktor-Authentifizierung (MFA) umgehen konnte, um Benutzeranmeldedaten zu stehlen und dauerhaften Zugriff auf die Systeme der Opfer zu erhalten.
Darüber hinaus haben die Akteure der Plattform kürzlich für einen neuen KI-gestützten Dienst geworben: RaccoonO365 AI-MailCheck, der die Operationen weiter skalieren und die Effektivität der Angriffe steigern soll.
„In nur etwas mehr als einem Jahr hat sich RaccoonO365 rasant weiterentwickelt und führt regelmäßig Upgrades ein, um der steigenden Nachfrage gerecht zu werden. Dieses schnelle Wachstum macht deutlich, warum es jetzt notwendig ist, rechtliche Schritte gegen die Plattform einzuleiten“, betont der DCU-Bericht.
Drahtzieher entlarvt
Im Rahmen der Ermittlungen wurde auch der Anführer der kriminellen Vereinigung identifizieren: Joshua Ogundipe, wohnhaft in Nigeria. Ogundipe und seine Komplizen vermarkteten und verkauften ihre Dienste über Telegram an eine wachsende Zahl von Kunden. Um ihre Aktivitäten zu verschleiern, registrierten sie Domains unter fiktiven Namen und Adressen in mehreren Städten und Ländern. Laut Microsoft verfügt Ogundipe über Programmierkenntnisse und verfasste den Großteil des Codes.
Den Tätern auf die Schliche kam die DCU durch eine Sicherheitslücke, über die die Gruppe versehentlich eine geheime Kryptowährungs-Wallet preisgab. Dies erleichterte der DCU die Zuordnung und Analyse ihrer Aktivitäten. Eine Strafanzeige gegen Ogundipe wurde an internationale Strafverfolgungsbehörden weitergeleitet.
Zum Zeitpunkt der Einreichung der Klage zählte die Plattform über 850 Mitglieder auf Telegram und hatte mindestens 100.000 Dollar in Kryptowährungen eingenommen – ein Betrag, der etwa 100 bis 200 Abonnements entspricht und vermutlich noch unter dem tatsächlichen Wert der Verkäufe liegt. Die Abonnements sind mehrfach verwendbar, sodass ein einzelner Nutzer täglich Tausende von Phishing-E-Mails verschicken kann, was sich auf Hunderte Millionen potenziell bösartiger E-Mails pro Jahr summiert.
Obwohl sich RaccoonO365 auf keine spezielle Branche fokussierte, ist besonders besorgniserregend, dass die Phishing-Kits laut DCU auch gegen mindestens 20 Gesundheitsorganisationen in den USA eingesetzt wurden. Dabei dienten die Phishing-E-Mails des Dienstes häufig als Vorläufer für Malware und Ransomware. Die potenziellen Folgen für Krankenhäuser sind schwerwiegend: Verzögerungen bei der Patientenversorgung, abgesagte Behandlungen, Gefährdung von Laborergebnissen und der Verlust sensibler Daten sind nur einige der Konsequenzen, die auch zu finanziellen Schäden und direkten Risiken für Patienten führen.
No Responses