قام المحققون من وحدة الجرائم الرقمية في Microsoft (DCU) بتعطيل الشبكة وراء Raccoono365 الخطرة برامج Infostealer الخبيثة وقد استهدف ذلك أسماء المستخدمين وبيانات اعتماد مستخدمي Office 365 بعد منحهم أمرًا في المحكمة في المقاطعة الجنوبية في نيويورك.
شهدت العملية ما مجموعه 338 موقعًا مرتبطًا بالبرامج الضارة الشهيرة التي تم الاستيلاء عليها وتعطلت بنيتها التحتية الفنية ، حيث قطعت وصول مستخدمي Raccoono365 إلى ضحاياهم.
كان Raccoono365-الذي تم تتبعه في مصفوفة ممثل التهديد في Microsoft باسم Storm-2246-غير متطابق نسبيًا وقائم على الاشتراك التصيد Kit التي استغلت العلامة التجارية الخاصة بـ Microsoft لجعل بريدها الإلكتروني المزيف ومرفقاتها ومواقعها تبدو واقعية بما يكفي لخداع الضحايا للتفاعل معهم.
وقال ستيفن ماسادا من Microsoft ، مساعد المستشار العام في DCU ، إن القضية أظهرت أن مجرمي الإنترنت الفعالين لم يكن بحاجة إلى أن تكون متطورة بشكل خاص للحصول على تأثير: “منذ يوليو 2024 ، تم استخدام مجموعات Raccoono365 لسرقة ما لا يقل عن 5000 بيانات اعتماد Microsoft من 94 دولة.
“على الرغم من أن جميع المعلومات المسروقة لا تؤدي إلى شبكات أو احتيال للخطر بسبب مجموعة متنوعة من ميزات الأمن المستخدمة لعلاج التهديدات ، فإن هذه الأرقام تؤكد على نطاق التهديد وكيف تظل الهندسة الاجتماعية بمثابة تكتيك للمجرمين على الإنترنت.
“على نطاق أوسع ، تشير التطوير السريع والتسويق وإمكانية الوصول إلى الخدمات مثل Raccoono365 إلى أننا ندخل مرحلة جديدة مقلقة من الجرائم الإلكترونية حيث من المحتمل أن تتضاعف عمليات الاحتيال والتهديدات بشكل كبير.”
يبدو أن عملية DCU قد جاءت في الوقت المناسب كما في الأشهر الـ 12 الماضية ، قالت Microsoft إن Raccoono365 خضع لتطور تقني سريع مع ترقيات منتظمة لتلبية الطلب المتزايد.
من بين أشياء أخرى ، تمكن المستخدمون من إدخال 9000 عناوين بريد إلكتروني مستهدفة كل يوم ، ويمكنهم أيضًا “الاستفادة” من الميزات على متن الطائرة التي مكنتهم من التحايل على ضمانات المصادقة متعددة العوامل (MFA) وإقامة وصول مستمر على أجهزة الكمبيوتر الخاصة بضحاياهم.
في الأشهر القليلة الماضية ، بدأ مشغلي Raccoono365 أيضًا في الإعلان عن خدمة الذكاء الاصطناعى التي من المفترض أنها مكنت المستخدمين من توسيع نطاق عملياتهم وتحسين فعالية هجماتهم.
القيادة المحددة
في الوقت نفسه ، قامت DCU بتعيين مواطن نيجيري ، Joshua Ogundipe ، كزعيم للمؤسسة وراء Raccoono365. تم التعرف عليه بعد انقضاء أمنية تشغيلية كشفت فيها العصابة عن طريق الخطأ عن محفظة سرية للعملة المشفرة ، والتي قالها DCU إلى حد كبير مع الإسناد.
واتهمت Ogundipe و Associates ببيع خدماتهم عبر Telegram لعملائها ، والتي تقدر بنحو 100 إلى 200 اشتراك بناءً على عضوية المجموعة البالغة 845 (اعتبارًا من 25 أغسطس) – على الرغم من أن هذا من المحتمل أن يكون أقل من شأنه.
وفقا ل Cloudflare، التي عملت مع DCU طوال فترة الإضاءة ، تم بيع الوصول إلى مجموعة التصيد الراكونو 365 على أساس الاشتراك ، مع توفر خطط لمدة 30 يومًا مقابل 355 دولارًا و 90 يومًا مقابل 999 دولارًا ، مستحقة الدفع بأشكال مختلفة من العملة المشفرة.
إلى جانب زملائه ، قام Ogundipe ، الذي من المفترض أن يكون لديه خلفية في برمجة الكمبيوتر ويعتقد أنه كتب الجزء الأكبر من Raccoono365 ، وهو منظمة مهنية على ما يبدو مع تطوير متخصص ومبيعات ودعم العملاء.
لتشويه أنشطتها ، سجلت العصابة مجالات إنترنت متعددة بأسماء وعناوين مزيفة في جميع أنحاء العالم ، على الرغم من أن شاشة ScreenGrabs of Ogundipe’s LinkedIn التي شاركتها DCU تشير إلى أنه قد يكون موجودًا في مدينة بنين في جنوب نيجيريا.
تم توزيع إحالة جنائية لاعتقاله إلى إنفاذ القانون الدولي. ومع ذلك ، ما إذا كان يواجه العدالة غير معروفة أم لا ، كما قال ماسادا.
وقال ماسادا: “لا تزال هناك تحديات قانونية ، لا سيما في الأماكن التي يكون فيها مقاضاة المجرمين على الإنترنت أمرًا صعبًا. لا يزال المرقع اليوم من القوانين الدولية عقبة رئيسية وتستغل المجرمين السيبرانيين هذه الثغرات”.
“يجب على الحكومات العمل معًا لمحاذاة قوانين الجريمة السيبرانية ، وتسريع الملاحقات القضائية عبر الحدود وإغلاق الثغرات التي سمحت للمجرمين بالعمل دون عقاب. يجب على المجتمع الدولي أن يدعم أيضًا الدول التي تعمل على تعزيز دفاعاتهم ، مع مساءلة أولئك الذين يغضون على الجريمة السيبرانية.
“بينما نضغط إلى الأمام في المحاكم ، يجب على المنظمات والأفراد الاستمرار في تعزيز دفاعاتهم. وهذا يعني تمكين مصادقة قوية متعددة العوامل على الحسابات ، وذلك باستخدام أدوات مكافحة الصيد والأمان ، وتثقيف المستخدمين للبقاء متيقظين ضد عمليات الاحتيال المتطورة”
