Microsoft toma 340 sitios web vinculados al creciente servicio de suscripción de phishing

Microsoft Inc dijo el martes que incautó casi 340 sitios web vinculados a un servicio con sede en Nigeria en rápido crecimiento que permitió a los usuarios llevar a cabo operaciones de phishing que robaron al menos 5,000 credenciales de usuarios de Microsoft.

Microsoft obtuvo una orden del Tribunal de Distrito de los Estados Unidos en Manhattan a principios de este mes para confiscar dominios asociados con Raccoon0365, el servicio de suscripción que permitió a los usuarios llevar a cabo campañas de phishing masivas, que a veces involucraban miles de correos electrónicos a la vez, según Steven Masada, Asesor General Asistente de la Unidad de delitos Digitales de Microsoft.

El servicio de Raccoon0365, que opera a través de un canal de telegrama privado con más de 850 suscriptores, permite a los usuarios hacerse pasar por marcas confiables y obtener objetivos para ingresar a las credenciales de inicio de sesión de Microsoft en páginas de inicio de sesión de Microsoft Phony, dijo Masada en un blog publicado en el sitio web de Microsoft.

El servicio ha generado para su pequeño grupo de operadores al menos $ 100,000 en pagos de criptomonedas desde su lanzamiento en julio de 2024, dijo Masada en el blog.

Microsoft dijo que la incautación de los sitios web ocurrió durante un período de días a principios de este mes.

Microsoft identificó a Joshua Ogundipe, con sede en Nigeria, como el líder y operador principal de Raccoon0365. Ogundipe no respondió de inmediato a una solicitud de correo electrónico de comentarios enviado a la dirección de correo electrónico identificada por Microsoft en su presentación judicial.

“Los cibercriminales no necesitan ser sofisticados para causar un daño generalizado”, dijo Masada. “Herramientas simples como Raccoon0365 hacen que el delito cibernético sea accesible para prácticamente cualquier persona, poniendo en riesgo a millones de usuarios”.

Los suscriptores de Raccoon0365 han atacado a una amplia franja de industrias, dijo Masada, y las presentaciones judiciales separadas alegan que “una porción significativa” de la actividad de Raccoon0365 se dirige a organizaciones con sede en la ciudad de Nueva York.

Masada dijo que Microsoft identificó lo que dijo que era un esfuerzo relacionado con Raccoon0365 utilizando correos electrónicos de phishing con temas de impuestos para apuntar a más de 2,300 organizaciones, principalmente en los EE. UU., Entre el 12 de febrero y el 28 de febrero de este año, según un blog de la compañía publicado en abril.

Errol Weiss, Director de Seguridad del Centro de Información y Análisis de Información de Salud (Health-ISAC), que proporciona servicios de seguridad cibernética a organizaciones de salud miembros y es un co-demandante junto con Microsoft, dijo Raccoon0365 ha sido vinculado a una recolección de credenciales exitosas a través de campañas de phishing en al menos cinco organizaciones de atención médica no nominadas, al tiempo que apunta a 25 organizaciones del sector de la salud en general.

Una vez que los piratas informáticos obtienen ese acceso, puede suceder cualquier cantidad de cosas, dijo Weiss.

“Muchos de los ataques comienzan porque alguien renunció a su nombre de usuario y contraseña a un malo”, dijo Weiss en una entrevista. “Una vez que ese cibercriminal tiene acceso a la red, entonces depende de la imaginación en términos de lo que viene a continuación y cómo la monetizan”.

Los operadores RACCOON0365 utilizaron servicios proporcionados por CloudFlare para ayudar a ocultar la infraestructura de back -end del servicio, dijo la firma de servicios de Internet en su propia publicación de blog. Cloudflare trabajó con Microsoft y el Servicio Secreto de EE. UU. Para interrumpir las operaciones de Raccoon0365 en su plataforma y evitar que los operadores establezcan nuevas cuentas, dijo la compañía.

Blake Darché, jefe de inteligencia de amenazas en Cloudflare, dijo en una entrevista que los operadores de Raccoon0365 cometieron algunos errores de seguridad operativos clave, pero fueron altamente efectivos. “Están en las cuentas de las personas, comprometen a muchas personas y obviamente debe detenerse”, dijo.