Microsoft’un Dijital Suç Birimi’nden (DCU) araştırmacılar, New York’un güney bölgesinde bir mahkeme emri verildikten sonra Office 365 kullanıcılarının kullanıcı adlarını ve kimlik bilgilerini hedefleyen tehlikeli Raccoono365 Infostealer kötü amaçlı yazılımlarının arkasındaki ağı bozdular.
Operasyonda, popüler kötü amaçlı yazılımlarla bağlantılı toplam 338 web sitesi görüldü ve teknik altyapısı bozuldu ve Raccoono365 kullanıcılarının kurbanlarına erişimini kırdı.
Microsoft’un tehdit oyuncusu Matrix’te Storm-2246 olarak izlenen Raccoono365, sahte e-postasını, eklerini ve web sitelerini kurbanları kendileriyle etkileşim kuracak kadar gerçekçi görünmek için Microsoft’un kendi markasını kullanan nispeten sofistike olmayan, abonelik tabanlı bir kimlik avı kitiydi.
Microsoft’un DCU Genel Müşavir Yardımcısı Stephen Masada, etkili siber suçluların bir etkiye sahip olmak için özellikle sofistike olması gerekmediğini gösterdi: “Temmuz 2024’ten bu yana, 94 ülkeden en az 5.000 Microsoft kimlik bilgileri çalmak için kullanıldı.
“Çalınan tüm bilgiler, tehditleri iyileştirmek için kullanılan çeşitli güvenlik özellikleri nedeniyle tehlikeye atılmış ağlar veya sahtekarlık ile sonuçlanmasa da, bu rakamlar tehdidin ölçeğinin altını çiziyor ve sosyal mühendisliğin siber suçlular için nasıl bir taktik olmaya devam ediyor.
“Daha geniş bir şekilde, Raccoono365 gibi hizmetlerin hızlı gelişimi, pazarlanması ve erişilebilirliği, dolandırıcılıkların ve tehditlerin katlanarak çoğalması muhtemel olan rahatsız edici yeni bir siber suç aşamasına girdiğimizi gösteriyor.”
DCU operasyonu son 12 ayda olduğu gibi doğru zamanda gelmiş gibi görünüyor, Microsoft, Raccoono365’in artan talebi karşılamak için düzenli yükseltmelerle hızlı bir teknik evrime geçtiğini söyledi.
Diğer şeylerin yanı sıra, kullanıcılar her gün 9.000 hedef e-posta adresi girebildiler ve ayrıca çok faktörlü kimlik doğrulama (MFA) önlemlerini atlatmalarını ve kurbanlarının bilgisayarlarına kalıcı erişim sağlamalarını sağlayan yerleşik özelliklerden “faydalanabilir”.
Son birkaç ay içinde, Raccoono365’in operatörleri, kullanıcıların operasyonlarını ölçeklendirmelerini ve saldırılarının etkinliğini artırmalarını sağlayan bir AI hizmetinin reklamını yapmaya başladılar.
Liderlik tanımlandı
Aynı zamanda DCU, Nijeryalı bir vatandaş olan Joshua Ogundipe, Raccoono365’in arkasındaki girişimin lideri olarak adlandırdı. Çetenin yanlışlıkla gizli bir kripto para cüzdanını ortaya çıkardığı ve DCU’nun atıfta büyük ölçüde yardımcı olduğunu söylediği operasyonel güvenlik atlamasının ardından tespit edildi.
Ogunipe ve Associates’i, Grubun 845 (25 Ağustos itibariyle) üyeliğine dayalı olarak 100 ila 200 abonelik olduğu tahmin edilen Telegram aracılığıyla hizmetlerini müşterilerine satmakla suçladı.
Yayından kaldırma boyunca DCU ile çalışan Cloudflare’e göre, Raccoono365 kimlik avı kitine erişim, abonelik bazında satıldı ve 30 günlük planlar 355 $ ve 90 günlük planlar için 999 $ için mevcut, çeşitli kripto para biriminde ödenebilir.
Ortaklarının yanı sıra, bilgisayar programlamasında bir geçmişe sahip olan ve Raccoono365’in büyük kısmını yazdığı düşünülen Ogunipe, uzman geliştirme, satış ve müşteri destek kaynakları ile görünüşte profesyonel bir organizasyon yürüttü.
Etkinliklerini gizlemek için, çete, DCU tarafından paylaşılan Ogundipe’nin LinkedIn profilinin ekrangrabları, Nijerya’nın Güney Nijerya’daki Benin şehrinde bulunabileceğini öne sürmesine rağmen, dünyanın dört bir yanındaki sahte isimler ve adreslerle birden fazla internet alanı kaydetti.
Tutuklanması için bir cezai sevk, uluslararası kolluk kuvvetlerine yayıldı. Ancak Masada, adaletle karşı karşıya olup olmadığı bilinmiyor.
Masada, “Özellikle siber suçluların kovuşturulmasının zor olduğu yerlerde yasal zorluklar devam ediyor. Bugünün uluslararası yasaların patchwork büyük bir engel olmaya devam ediyor ve siber suçlular bu boşluklardan yararlanıyor” dedi.
“Hükümetler, siber suç yasalarını hizalamak, sınır ötesi kovuşturmaları hızlandırmak ve suçluların cezasızlıkla faaliyet göstermesine izin veren boşlukları kapatmak için birlikte çalışmalıdır. Uluslararası topluluk da savunmalarını güçlendirmek için çalışan ülkeleri desteklerken, siber suçlara kör bir göz atan hesaplanabilir olanları desteklemelidir.
“Mahkemelerde ileriye doğru ilerlerken, kuruluşlar ve bireyler de savunmalarını desteklemeye devam etmelidir. Bu, hesaplarda güçlü çok faktörlü kimlik doğrulamasını sağlamak, güncel anti-akma ve güvenlik araçlarını kullanmak ve kullanıcıları gelişen dolandırıcılıklara karşı şiddetli kalmaları için eğitmek anlamına geliyor.”