RaccoonO365: Microsoft smantella il servizio di phishing

Microsoft ha smantellato il servizio di phishing RaccoonO365 in collaborazione con Cloudflare. Veniva sfruttato dai cybercriminali per eseguire attacchi contro Microsoft 365 e rubare le credenziali di login. Tra i bersagli ci sono principalmente molte organizzazioni statunitensi, incluse quelle che offrono assistenza sanitaria.

Dettagli su RaccoonO365

L’omonimo gruppo di cybercriminali, noto anche come Storm-2246, offriva il servizio di phishing attraverso un canale privato su Telegram. Il prezzo del kit era 355 dollari per 30 giorni e 999 dollari per 90 giorni. I pagamenti venivano ovviamente effettuati in criptovalute. Microsoft scrive che, da luglio 2024, RaccoonO365 è stato usato per rubare almeno 5.000 credenziali in 94 paesi.

I bersagli operano in quasi tutti i settori, ma una delle recenti campagne di phishing (aprile 2025) ha preso di mira oltre 2.300 organizzazioni negli Stati Uniti, circa 20 delle quali si occupano di assistenza sanitaria. Ciò rappresenta un grave pericolo per la salute dei pazienti perché il phishing viene spesso seguito dall’installazione di ransomware.

Le ignare vittime hanno ricevuto email di vario tipo, come quelle relative al pagamento di tasse. Cliccando sul link venivano portate su una pagina di login simile a quella legittima. Le credenziali di Microsoft 365 sono state successivamente utilizzate per accedere ai sistemi interni, effettuare truffe finanziarie e chiedere somme di denaro (estorsione). Il servizio permetteva anche di aggirare l’autenticazione multi-fattore.

Microsoft stima che i cybercriminali hanno guadagnato almeno 100.000 dollari, ma la cifra è sicuramente più alta. La Digital Crimes Unit dell’azienda di Redmond ha ottenuto l’ordine dal giudice e sequestrato 338 siti web associati al servizio. È stato inoltre individuato il leader del gruppo (Joshua Ogundipe, cittadino nigeriano), prontamente segnalato alle forze di polizia internazionali.