В результате совместной операции подразделения Microsoft по борьбе с цифровыми преступлениями (DCU) и компании Cloudflare была пресечена деятельность крупной фишинговой сети RaccoonO365. На основании постановления суда, выданного в Южном округе Нью-Йорка, были заблокированы 338 доменов, что парализовало инфраструктуру сервиса, ответственного за кражу более 5000 учетных данных Microsoft 365 в 94 странах мира.
Операция по ликвидации проходила в несколько этапов в 2025 году. Начальная фаза стартовала 2 сентября, дополнительные меры были приняты 3-4 сентября, а к 8 сентября все действия по пресечению деятельности сети были завершены. Cloudflare заблокировала все идентифицированные домены, разместила на них страницы с предупреждением о фишинге, прекратила выполнение связанных скриптов Cloudflare Workers и приостановила действие учетных записей операторов сервиса.
RaccoonO365, которому Microsoft присвоила кодовое название Storm-2246, функционировал по модели «Фишинг как услуга» (PhaaS) на основе подписки. Стоимость 30-дневного плана составляла 355 долларов, а 90-дневного — 999 долларов. Сервис позиционировался как премиальный продукт, размещенный на «пуленепробиваемых» виртуальных серверах, и рекламировался под лозунгом «создан только для серьезных игроков — никаких низкобюджетных халявщиков». В отличие от конкурента BulletProofLink, операторы RaccoonO365 утверждали об отсутствии скрытых бэкдоров в своей системе.
Предполагаемым организатором и руководителем сети является Джошуа Огундипе из Нигерии, который в настоящее время находится в розыске вместе с четырьмя сообщниками. Благодаря операционной ошибке злоумышленников, раскрывшей их секретный криптовалютный кошелек, удалось установить, что группа получила не менее 100 000 долларов в виде платежей. По оценкам, было продано от 100 до 200 подписок, хотя в Microsoft считают эту цифру заниженной.
Платформа позволяла клиентам-злоумышленникам вводить до 9000 целевых адресов электронной почты в день и использовала изощренные методы для обхода многофакторной аутентификации (MFA). Незадолго до ликвидации операторы анонсировали новый сервис на базе искусственного интеллекта, RaccoonO365 AI-MailCheck, предназначенный для масштабирования и повышения эффективности атак.
Сеть действовала как минимум с сентября 2024 года, а с июля 2024 года её жертвами стали пользователи в 94 странах. В США под удар попали более 2300 организаций, включая как минимум 20 медицинских учреждений. Злоумышленники использовали фишинговые письма, имитирующие рассылки от таких известных брендов, как Microsoft, DocuSign, SharePoint, Adobe и Maersk, с целью заставить жертв ввести свои логины и пароли от Microsoft 365 на поддельных страницах.
Для обхода систем безопасности и фильтрации ботов RaccoonO365 применял легитимные инструменты. В частности, использовался сервис Cloudflare Turnstile в качестве CAPTCHA, а специальный скрипт Cloudflare Workers обеспечивал доступ к фишинговым страницам только для реальных пользователей, а не для автоматизированных систем сканирования.
Кража учетных данных часто была лишь первым шагом. За фишинговыми атаками следовала доставка вредоносного программного обеспечения и программ-вымогателей. В ходе одной из кампаний, проведенной в апреле, были зафиксированы такие вредоносы, как Latrodectus, AHKBot, GuLoader и BruteRatel C4 (BRc4). Услугами RaccoonO365 также пользовалась другая киберпреступная группа, известная как Storm-0249, специализирующаяся на получении первоначального доступа к сетям.
После блокировки инфраструктуры операторы RaccoonO365 объявили, что «списывают все устаревшие ссылки RaccoonO365", и призвали клиентов, оплативших месячную подписку, перейти на новый план, что свидетельствует о попытке возобновить деятельность.
Эта операция, по словам Стивена Масады, помощника генерального юрисконсульта в DCU Microsoft, знаменует собой стратегический сдвиг. Вместо реактивной блокировки отдельных доменов компании переходят к проактивному, крупномасштабному разрушению всей операционной инфраструктуры злоумышленников. Цель Cloudflare — значительно увеличить операционные издержки для киберпреступников и послать четкий сигнал тем, кто злоупотребляет их платформой. Дело Джошуа Огундипе передано международным правоохранительным органам.
Изображение носит иллюстративный характер
Операция по ликвидации проходила в несколько этапов в 2025 году. Начальная фаза стартовала 2 сентября, дополнительные меры были приняты 3-4 сентября, а к 8 сентября все действия по пресечению деятельности сети были завершены. Cloudflare заблокировала все идентифицированные домены, разместила на них страницы с предупреждением о фишинге, прекратила выполнение связанных скриптов Cloudflare Workers и приостановила действие учетных записей операторов сервиса.
RaccoonO365, которому Microsoft присвоила кодовое название Storm-2246, функционировал по модели «Фишинг как услуга» (PhaaS) на основе подписки. Стоимость 30-дневного плана составляла 355 долларов, а 90-дневного — 999 долларов. Сервис позиционировался как премиальный продукт, размещенный на «пуленепробиваемых» виртуальных серверах, и рекламировался под лозунгом «создан только для серьезных игроков — никаких низкобюджетных халявщиков». В отличие от конкурента BulletProofLink, операторы RaccoonO365 утверждали об отсутствии скрытых бэкдоров в своей системе.
Предполагаемым организатором и руководителем сети является Джошуа Огундипе из Нигерии, который в настоящее время находится в розыске вместе с четырьмя сообщниками. Благодаря операционной ошибке злоумышленников, раскрывшей их секретный криптовалютный кошелек, удалось установить, что группа получила не менее 100 000 долларов в виде платежей. По оценкам, было продано от 100 до 200 подписок, хотя в Microsoft считают эту цифру заниженной.
Платформа позволяла клиентам-злоумышленникам вводить до 9000 целевых адресов электронной почты в день и использовала изощренные методы для обхода многофакторной аутентификации (MFA). Незадолго до ликвидации операторы анонсировали новый сервис на базе искусственного интеллекта, RaccoonO365 AI-MailCheck, предназначенный для масштабирования и повышения эффективности атак.
Сеть действовала как минимум с сентября 2024 года, а с июля 2024 года её жертвами стали пользователи в 94 странах. В США под удар попали более 2300 организаций, включая как минимум 20 медицинских учреждений. Злоумышленники использовали фишинговые письма, имитирующие рассылки от таких известных брендов, как Microsoft, DocuSign, SharePoint, Adobe и Maersk, с целью заставить жертв ввести свои логины и пароли от Microsoft 365 на поддельных страницах.
Для обхода систем безопасности и фильтрации ботов RaccoonO365 применял легитимные инструменты. В частности, использовался сервис Cloudflare Turnstile в качестве CAPTCHA, а специальный скрипт Cloudflare Workers обеспечивал доступ к фишинговым страницам только для реальных пользователей, а не для автоматизированных систем сканирования.
Кража учетных данных часто была лишь первым шагом. За фишинговыми атаками следовала доставка вредоносного программного обеспечения и программ-вымогателей. В ходе одной из кампаний, проведенной в апреле, были зафиксированы такие вредоносы, как Latrodectus, AHKBot, GuLoader и BruteRatel C4 (BRc4). Услугами RaccoonO365 также пользовалась другая киберпреступная группа, известная как Storm-0249, специализирующаяся на получении первоначального доступа к сетям.
После блокировки инфраструктуры операторы RaccoonO365 объявили, что «списывают все устаревшие ссылки RaccoonO365", и призвали клиентов, оплативших месячную подписку, перейти на новый план, что свидетельствует о попытке возобновить деятельность.
Эта операция, по словам Стивена Масады, помощника генерального юрисконсульта в DCU Microsoft, знаменует собой стратегический сдвиг. Вместо реактивной блокировки отдельных доменов компании переходят к проактивному, крупномасштабному разрушению всей операционной инфраструктуры злоумышленников. Цель Cloudflare — значительно увеличить операционные издержки для киберпреступников и послать четкий сигнал тем, кто злоупотребляет их платформой. Дело Джошуа Огундипе передано международным правоохранительным органам.
