Microsoft ve Cloudflare, 2024’ten bu yana binlerce kimlik bilgisi hırsızlık kampanyasını körükleyen abonelik tabanlı bir Hizmet Olarak Kimlik Avı (PHAAS) platformu olan Raccoono365’e karşı büyük bir darbe aldı. Bu hafta açıklanan ortak bir operasyonda Microsoft, ağa bağlı 338 alan ele geçirirken, Cloudflare proxy altyapısını ve işçi hesaplarını sökmek için harekete geçti – birlikte hizmeti çevrimdışı zorlayan eylemler.
Raccoono365 ne satıyordu
Raccoono365 sadece başka bir kimlik avı kiti değildi – kimlik avı neredeyse zahmetsiz hale getirmek için tasarlanmış bir abonelik modeliydi. Müşteriler, erişim için ödeme yaparak, Microsoft 365 oturum açma portallarını, İK bildirimlerini veya vergi formlarını ikna edici bir şekilde taklit eden cilalı kimlik avı sayfalarını anında dağıtabilirler. Hizmet ayrıca çalıntı kimlik bilgilerini ve oturum çerezlerini ele almak için arka uç altyapısı ile geldi ve bu da onu siber suçlular için tam uçtan uca bir çözüm haline getirdi.
Bu “Hizmet AS” unsuru onu tehlikeli kılan şeydir. Teknik pirzola gerektiren ısmarlama kimlik avı kampanyalarının aksine, Raccoono365’in kitleri tak ve oynamıştı. Bir acemi bile abone olabilir, önceden yapılmış yemlerle bir kampanya yapılandırabilir ve birkaç dakika içinde kullanıcı adlarını ve şifreleri hasat etmeye başlayabilir. Aslında, kimlik avı bir emtia pazarına dönüştü.
Küresel etki
Sayılar hikayeyi anlatıyor. Temmuz 2024’ten bu yana, 94 ülkede en az 5.000 Microsoft kimlik bilgisi çalmak için Raccoono365 kitleri kullanılmıştır. Kampanyalar geniş ve fırsatçı idi. Microsoft, en önemlilerinden biri, vergi otoritelerini taklit ederek 2.300’den fazla ABD kuruluşunu hedefleyen vergi temalı bir kimlik avı dalgası olduğunu söyledi. Sağlık hizmetleri bir başka büyük dikeydi. Hassas hasta ve kurumsal verileri potansiyel uzlaşmaya maruz bırakarak en az 20 ABD sağlık hizmeti sağlayıcısı vuruldu.
Hizmetin kitleri, tespit edilmelerini ve indirilmelerini zorlaştıran teknik özelliklerle de geldi. Geliştirici araçlarını engellemek için tarayıcı parmak izi, captcha zorlukları ve komut dosyalarında yerleşik operatörler. Çalınan çerezler, çok faktörlü kimlik doğrulamasını atlayarak tekrarlanabilir ve saldırganlara kurumsal hesaplar içinde kalıcılık sağlar.
Bozulma nasıl oldu
Yayından kaldırma iki yönlü bir çabaydı. Microsoft, Ağustos ayı sonlarında bir sivil dava açtıktan sonra, doğrudan Raccoono365’e bağlı 338 alan ele geçirme yetkisi aldı. Bu alan adları sahte oturum açma portallarını barındırdı ve kurbanları kimlik bilgilerini teslim etmek için kandırmak için şarttı.
Aynı zamanda Cloudflare, bu portalların gelişmesine izin veren altyapının peşinden gitti. Cloudflare, yüzlerce işçi hesabı ve ilgili proxy hizmetlerini devre dışı bırakarak, aktörün arka uç sunucularını maskeleme ve etki alanlarını döndürme yeteneğini kapatın. Bu, yaklaşımda stratejik bir değişim olarak işaret ediyordu: tek sitelerin mole-mol yayından kaldırılması yerine Cloudflare, işlemi çevik tutan omurgayı hedefledi.
Cloudflare açıkça ortaya koydu: Raccoono365’in operasyonel maliyetlerini artırarak, ücretsiz katmanı siber suçlular için “çok pahalı” hale getirdiler.
Siber suçlarda tanıdık bir desen
Raccoono365 yayından kaldırma, diğer Hizmet Olarak Kimlik Avı Ekosistemlerine karşı geçmişlerin geçmişlerini yansıtıyor. 2021’de araştırmacılar, özel şablonlar sunan ve müşterilere barındıran başka bir abonelik tabanlı kit işlemi olan BulletProoflink’i maruz bıraktılar. 2023’te, PayPal, Apple ve Amazon kullanıcılarını hedef aldıktan sonra 16shop platformu küresel bir operasyonda kaldırıldı.
Eğilim açık. Kimlik avı profesyonel oldu. Raccoono365 gibi hizmetler, bazıları küçük zamanlı dolandırıcılar olan alıcıların bir pazarına hitap ederken, diğerleri daha büyük organize grupların bir parçası olabilir. Bu profesyonelleştirme, kimlik avı ölçeklerinin daha hızlı yayıldığı, daha geniş yayılması ve altyapı kaldırıldığında hızlı bir şekilde adapte olduğu anlamına gelir.
Microsoft ve Cloudflare’den gelen sayılar, bu planların nasıl küresel hale geldiğini gösteriyor. Yaklaşık 100 ülkedeki kurbanlar ve finanstan sağlık hizmetlerine kadar sektörlerle birlikte, Raccoono365 çok uluslu bir işletmeye ulaştı – ürününün çalındığı özenler hariç.
Önemli olan
Kimlik Doğru hırsızlığı, Business E -posta Uzlaşması (BEC) ve Fidye Yazılımları gibi saldırılar için en yaygın giriş noktalarından biri olmaya devam ediyor. Hizmet olarak kimlik avı bu riski hızlandırır çünkü süreci sanayileştirir. Bir hastane BT yöneticisi veya küçük bir işletmedeki bir finans ekibi Raccoono365’in doğrudan farkında olmayabilir, ancak gelen kutularındaki kimlik avı e -postası çok iyi oluşturulmuş olabilir.
Microsoft ve Cloudflare, alan adlarını ele geçirerek ve altyapıyı sökerek geçici olarak önemli bir kimlik hırsızlığı kaynağını körüklediler. Ancak tarih, bu tür hizmetlerin genellikle yeni marka veya altyapı altında yeniden ortaya çıktığını göstermektedir. Yayından kaldırmanın başarısı, tehdidi tamamen ortadan kaldırmak ve maliyetleri yükseltmek ve savunucuların zaman satın almada daha az yatmaktadır.
Daha büyük resim
Kimlik avı fidye yazılımı veya ulus-devlet casusluğu ile karşılaştırıldığında eski haberler gibi görünebilir, ancak kalıcılığı anlatıyor. Sosyal mühendislik, insan güvenlik katmanını hedeflediği için saldırganlar için en etkili araçlardan biri olmaya devam ediyor. Raccoono365, siber suçlular için sürtünmeyi kaldırdığı ve Microsoft gibi tanıdık markalara güvenle oynadığı için gelişti.
Microsoft ve Cloudflare arasındaki işbirliği, özel sektör ittifaklarının siber suç altyapısıyla mücadelede artan rolünü göstermektedir. Kolluk kuvvetleri bu yayından kaldırmanın merkezinde değildi – kloud sağlayıcıları ve platform sahipleri meseleleri kendi ellerine aldı ve ceza tedarik zincirlerini doğrudan bozmak için yasal ve teknik önlemlerden yararlandı.
Raccoono365’in operatörlerinin geri dönüp denemeye çalışmadığı görülmeye devam ediyor. Ancak mesaj açıkça. Kimlik avını hizmet olarak destekleyen ekosistem artı işaretlerinde ve teknoloji devleri platformları ölçeklendirildiğinde giderek daha fazla hareket etmeye istekli.