Microsoft ve Cloudflare, siber suçluların binlerce Microsoft 365 kimlik bilgilerini çalmasına yardımcı olan Raccoono365 olarak bilinen büyük bir Hizmet Olarak Kimlik Avı (PHAAS) operasyonunu bozdu.
Eylül 2025’in başlarında, Cloudflare’nin CloudForce One ve Güven ve Güvenlik Ekipleri ile koordineli olarak, Microsoft’un Dijital Suç Birimi (DCU), Raccoono365’e bağlı 338 web sitesi ve işçi hesaplarını ele geçirerek siber suç operasyonunu bozdu.
Bu hizmetin arkasındaki siber suç grubu (Microsoft tarafından Storm-2246 olarak da izlendi), en az Temmuz 2024’ten bu yana 94 ülkeden en az 5.000 Microsoft kimlik bilgilerini çaldı ve Captcha sayfalarını ve anti-bot tekniklerini meşru ve EVADE analizleri için bir araya getiren Raccoono365 phishing kitleri kullandı.
Örneğin, Nisan 2025’te Amerika Birleşik Devletleri’nde 2.300’den fazla kuruluşu hedefleyen büyük ölçekli bir Raccoono365 vergi temalı kimlik avı kampanyası, ancak bu kimlik avı kitleri 20’den fazla ABD sağlık kuruluşuna karşı saldırılarda konuşlandırıldı.
Mağdurların OneDrive, SharePoint ve e -posta hesaplarından çalınan kimlik bilgileri, çerez ve diğer veriler daha sonra finansal sahtekarlık girişimlerinde, gasp saldırılarında veya diğer mağdurların sistemlerine ilk erişim olarak kullanıldı.
Microsoft’un Dijital Suç Birimi Genel Danışman Yardımcısı Steven Masada, “Bu, Raccoono365 kimlik avı e -postaları genellikle hastaneler için ciddi sonuçları olan kötü amaçlı yazılım ve fidye yazılımlarının öncüsüdür.” Dedi.
“Bu saldırılarda hasta hizmetleri ertelenir, kritik bakım ertelenir veya iptal edilir, laboratuvar sonuçları tehlikeye girer ve hassas veriler ihlal edilir, bu da büyük finansal kayıplara neden olur ve hastaları doğrudan etkilemektedir.”
Raccoono365, 25 Ağustos 2025 itibariyle 840’dan fazla üyesi olan özel bir telgraf kanalı aracılığıyla abonelik tabanlı kimlik avı kitleri kiralıyor.
Microsoft, grubun şu ana kadar kripto para ödemelerinde en az 100.000 dolar aldığını tahmin ederek yaklaşık 100 ila 200 abonelik olduğunu; Ancak, satılan gerçek abonelik sayısı muhtemelen çok daha yüksektir.
Microsoft DCU, soruşturması sırasında Raccoono365’in liderinin Nijerya’da yaşayan Joshua Ogunipe olduğunu da buldu.
Masada, “Microsoft’un analizine dayanarak, Ogunipe’nin bilgisayar programlamasında bir geçmişi var ve kodun çoğunluğunu yazdığına inanılıyor.”
Diyerek şöyle devam etti: “Gizli bir kripto para cüzdanının yanlışlıkla ortaya çıkardıkları tehdit aktörleri tarafından Operasyonel Güvenlik atlaması DCU’nun operasyonlarını atıfta bulunmasına ve anlamasına yardımcı oldu. Uluslararası kolluk kuvvetlerine Ogundipe için bir cezai sevk gönderildi.”
Mayıs ayında Microsoft ayrıca Lumma Hizmet Olarak Mal-Hizmet (MAAS) bilgi çalmacısını hedefleyen koordineli bir bozulma eyleminde 2.300 alanda da ele geçirdi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.