Die Digital-Crimes-Unit (DCU) von Microsoft hat mit einem Gerichtsbeschluss des Southern District of New York 338 Websites beschlagnahmt, die mit „RaccoonO365“ verbunden sind. Ziel war es, die technische Infrastruktur des Dienstes zu stören und Kriminellen den Zugriff auf Opferkonten zu entziehen. RaccoonO365 ist ein Phishing-Toolkit, mit dem Microsoft-365-Zugangsdaten gestohlen werden.
Dieser Fall zeigt, dass Cyberkriminelle nicht hoch komplexe Mittel benötigen, um großen Schaden anzurichten. Selbst relativ einfache Tools wie RaccoonO365 machen Cyberkriminalität für fast jeden zugänglich und gefährden Millionen von Nutzern.
Was ist RaccoonO365?
Auch bekannt unter dem Namen Storm-2246. Es handelt sich um abonnementbasierte Phishing-Kits. Auch technisch weniger versierte Nutzer können dadurch Microsoft-Zugangsdaten erbeuten. Die Kits imitieren offizielle Microsoft-Kommunikationen (E-Mails, Anhänge, Websites) unter Einsatz von Microsoft-Branding. Der Zweck: Empfänger dazu bringen, E-Mails zu öffnen, Links anzuklicken, Zugangsdaten einzugeben.
Ausmaß und Auswirkungen
Seit Juli 2024 wurden mindestens 5.000 Microsoft-Konto-Zugangsdaten mittels RaccoonO365 in 94 Ländern gestohlen. Nicht jede gestohlene Information führt zu Netzwerkkompromittierungen oder Betrug – viele Accounts sind zusätzlich gesichert, oder Sicherheitsmaßnahmen greifen. Dennoch verdeutlichen die Zahlen die Größenordnung der Bedrohung und wie effektiv Social Engineering weiterhin funktioniert.
Besonders gefährliche Ziele und Folgen
RaccoonO365 wird branchenübergreifend eingesetzt. Ein besonders umfangreicher Angriff war eine steuerbezogene Phishingkampagne gegen über 2.300 Organisationen in den USA. Erschreckend ist, dass mindestens 20 US-Gesundheitsorganisationen betroffen sind. Phishing-E-Mails dienen häufig als Vorstufe für Malware oder Ransomware. In Krankenhäusern können davon mehr als finanzielle Schäden resultieren: Verzögerte oder abgesagte Patientenversorgung, beeinträchtigte Laborergebnisse, Verletzungen sensibler Daten. Microsoft arbeitet hierbei mit Health-ISAC, einer globalen Non-Profit-Organisation für Cybersicherheit im Gesundheitswesen.
Entwicklung und organisatorische Details
RaccoonO365 hat sich seit seinem Aufkommen rasant weiterentwickelt: regelmäßige Updates, um wachsende Nachfrage und Abwehrmaßnahmen zu adressieren. Kunden können pro Tag bis zu 9.000 Ziel-E-Mail-Adressen angeben und nutzen Techniken, um Mehrfachfaktor-Authentifizierung (MFA) zu umgehen. So bekommen Angreifer persistierenden Zugriff auf Systeme. Kürzlich wurde ein neues Modul namens AI-MailCheck eingeführt: ein KI-gesteuerter Dienst, um Angriffe zu skalieren und effektiver zu gestalten.
Verantwortliche Akteure
Der mutmaßliche Leiter der Organisation ist Joshua Ogundipe aus Nigeria. Er und seine Komplizen vermarkteten ihre Dienstleistungen unter anderem über Telegram. Auf Telegram hat die Gruppe über 850 Mitglieder. Es wurden mindestens 100.000 US-Dollar in Kryptowährungen empfangen, was auf etwa 100-200 Abos schließen lässt – wahrscheinlich sind das nur konservative Schätzungen. Ein Abo erlaubt es, tausende Phishing-E-Mails pro Tag zu versenden, was sich über ein Jahr zu Hunderten Millionen betrügerischer E-Mails summieren kann. Ogundipe soll den Großteil des Codes geschrieben haben. Ein operatives Versäumnis der Verantwortlichen (unerlaubte Offenlegung einer geheimen Krypto-Wallet) half Microsoft, Attribution und Einblicke in die Arbeitsweise zu gewinnen. Eine Strafanzeige wurde an internationale Behörden weitergegeben.
Maßnahmen von Microsoft und Partnern
- Gerichtliche Beschlagnahmung der relevanten Domains und Websites – 338 insgesamt. Somit wurde die Infrastruktur gestört und der Zugriff der Täter auf Opferkonten eingeschränkt.
- Kooperation mit anderen Sicherheitsfirmen und Partnern: z. B. Cloudflare für das rasche Abschalten bösartiger Infrastruktur.
- Einsatz von Blockchain-Analysewerkzeugen wie Chainalysis-Reactor, um Kryptowährungstransaktionen nachzuverfolgen und Verbindungen von Onlineaktivitäten zu realen Identitäten herzustellen.
- Laufende rechtliche Schritte, um neu auftauchende oder wiederaufgebaute Infrastrukturen zu unterbinden.
Herausforderungen und Empfehlung
Internationale Gesetzeslage bleibt uneinheitlich. In vielen Ländern erschweren Lücken in der Gesetzgebung und Schwierigkeiten bei grenzüberschreitender Strafverfolgung die Bekämpfung von Cyberkriminalität. Microsoft fordert Regierungen auf, ihre Cybercrime-Gesetze zu harmonisieren, Verfahren zur grenzüberschreitenden Strafverfolgung zu beschleunigen und Schlupflöcher zu schließen. Gleichzeitig sind Unternehmen und Einzelpersonen aufgefordert, selbst aktiv zu werden:
-
starke Mehrfaktor-Authentifizierung aktivieren,
-
aktuelle Anti-Phishing- und Sicherheitstools einsetzen,
-
Nutzerbildung und Sensibilisierung bzgl. sich entwickelnder Phishing-Methoden vorantreiben.
Fazit
Dieser Fall zeigt exemplarisch, wie sich Cyberkriminalität entwickelt: global, skalierbar und auch für technisch weniger versierte Akteure zugänglich.
Durch das Zusammenspiel von Technologieunternehmen, Sicherheitsfirmen, Non-Profits und Behörden lassen sich Angriffe stören und Schaden begrenzen. Microsoft betont, dass das Gerichtsverfahren nur ein Teil der Antwort ist. Um effektiv zu bleiben, muss die Infrastruktur ständig überwacht, neue Schwachstellen identifiziert und emergente Bedrohungen sofort angegangen werden.
Info: Auszug aus dem Blogbeitrag auf The Official Microsoft Blog von Steven Masada, Assistant General Counsel, Microsoft Digital Crimes Unit
#Microsoft #Cloudflare
