355 דולר בחודש ושירות הפישינג הזה יכול להיות שלכם
RaccoonO365 הציע פישינג כמוצר מנוי עם ערכות התקנה, אנטי בוט, ודשבורד מסודר, עד שמיקרוסופט ו-Cloudflare חשפו אותו
תמונה: Dreamstime
בפינה קצת נשכחת של טלגרם, בערוץ פרטי שלא היה מופיע גם אם ידעתם בדיוק מה לרשום בשורת החיפוש, התכנסו למעלה מ-800 משתמשים. אף אחד שם לא השתמש בשם אמיתי, אף אחד לא שאל שאלות, ובכל זאת הכול עבד בצורה כמעט חלקה. הם שילמו בקריפטו ובתמורה קיבלו גישה למה שנראה כמו מוצר טכנולוגי סטנדרטי: פלטפורמת פישינג שמבוססת על מנוי חודשי, עם דשבורד, ערכות התקנה, מנגנוני אנטי בוט, עמודי CAPTCHA ממותגים ומדריך מסודר למי שלא התעסק בזה קודם ורצה לקבל איזו "ערכה למתחילים".
לשירות המיוחד הזה קראו RaccoonO365 – ואחרי חודשים של מעקב, מיקרוסופט ו-Cloudflare הצליחו סוף סוף לעצור אותו.
תמיכה בטלגרם ומבצעים למנויים
בתחילת החודש, יחידת הפשיעה הדיגיטלית של מיקרוסופט (DCU), יחד עם צוותי Cloudforce One של Cloudflare, חשפה את רשת הפישינג הגדולה שפעלה תחת השם RaccoonO365. במסגרת הפעולה נתפסו 338 אתרים וחשבונות Worker, שדרכם הופעלו קמפיינים של פישינג מתוחכם נגד ארגונים, מוסדות בריאות ומשתמשים פרטיים בכל העולם.
מאחורי הרשת עמדה קבוצה עבריינית שמיקרוסופט מכנה Storm-2246, אשר גנבה לפחות 5,000 פרטי גישה לחשבונות Microsoft 365 מאז יולי 2024, והפעילה קמפיינים שהכו ב-94 מדינות. בקמפיין אחד בלבד שנערך בחודש אפריל האחרון, נשלחו מיילים בנושא מס הכנסה ליותר מ-2,300 ארגונים בארה"ב. ערכות הפישינג שימשו גם לתקיפות נגד למעלה מ-20 מוסדות רפואיים אמריקאיים.
כל ערכה כללה תהליך מלא שנראה אמיתי לגמרי – החל מדף הכניסה ועד לעמוד אימות CAPTCHA שמנע מזיהוי אוטומטי. ברגע שהקורבן הזין את פרטיו הגישה לחשבונו נפרצה והמידע הועבר לתוקפים. לאחר מכן, נעשה שימוש במיילים, עוגיות ונתונים נוספים מתוך OneDrive, SharePoint ותיבות הדוא"ל כדי להפעיל הונאות פיננסיות, ניסיונות סחיטה, ולעיתים גם כנקודת כניסה ראשונית למערכות ארגוניות אחרות.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
רק 355 דולר לחודש
המודל היה פשוט: RaccoonO365 נמכר כשירות מנויים, עם מחירים שנעו בין 355 דולר לחודש ועד 999 דולר לשלושה חודשים. כל המערכת התנהלה בערוץ טלגרם סגור, שמנה מעל 840 משתמשים נכון לסוף אוגוסט. המנויים קיבלו גישה שוטפת, עדכונים, ולעיתים גם תמיכה.
לפי מיקרוסופט, הקבוצה הרוויחה לפחות 100,000 דולר במטבעות קריפטוגרפיים – הערכה שמרנית שמבוססת על כמות הארנקים שנחשפו. בפועל, ייתכן שמדובר במאות רבות של מנויים.
מכוונים לבריאות שלכם
כשהקמפיין כוון נגד בתי חולים ומוסדות בריאות, התוצאה הייתה יותר מסתם חדירה לחשבון מייל. "RaccoonO365 מהווה סכנה ישירה לביטחון הציבור, כי הפישינג שלו משמש כשלב מקדים לתוכנות כופר ונוזקות וההשלכות על בתי חולים עלולות להיות קטלניות", הסביר סטיבן מסאדה, היועץ המשפטי של יחידת DCU במיקרוסופט, "שירותים רפואיים מתעכבים, טיפולים נדחים או מתבטלים, תוצאות בדיקות מתעוותות, והמידע הרפואי של מטופלים נחשף עם השפעה ישירה על הבריאות והחיים של אנשים".
במהלך החקירה, מיקרוסופט הצליחה לחשוף את זהותו של מנהיג הקבוצה: ג'ושוע אוגונדיפה, אזרח ניגרי עם רקע בתכנות, שלפי הערכות החברה כתב בעצמו את רוב קוד המערכת. Cloudflare ציינה כי הבוט ששירת את הקבוצה נשא שם ברוסית, מה שמרמז על שיתוף פעולה אפשרי עם עברייני סייבר דוברי רוסית.
בסופו של דבר, זה לא היה כלי פורנזי מתוחכם שהפיל את אוגונדיפה, אלא טעות אנוש קלאסית: חשיפת ארנק קריפטוגרפי סודי בטעות, שסיפקה ל-DCU את ראיית הזהב החסרה.
לא הפעם האחרונה
זו לא הפעם הראשונה שמיקרוסופט פועלת נגד מודלים של תקיפה כשירות. במאי האחרון, החברה השתלטה על 2,300 דומיינים נוספים, כחלק ממבצע משותף נגד Lumma, שירות אחר שהתמקד בגניבת מידע דרך תוכנות זדוניות.
המסר ברור: הפשיעה הדיגיטלית היא כבר מזמן סטארטאפ רווחי במיוחד, עד שתופסים אותך לפחות. והסטארטאפ הזה מציע תמחור, תמיכה, ארכיטקטורה, ערוצים, מיתוג והרס אמיתי, שנמדד לא רק באובדן נתונים אלא בפגיעות אמיתיות באנשים ובחיים עצמם.
