Đơn vị Tội phạm Kỹ thuật số (DCU) của Microsoft đã thành công trong việc kiểm soát 338 trang web, vô hiệu hóa nền tảng phishing-as-a-service (PhaaS) RaccoonO365 đang phát triển nhanh chóng. Nền tảng này cho phép bất kỳ ai cũng có thể thu thập thông tin đăng nhập Microsoft 365, gây ra một mối đe dọa nghiêm trọng cho an ninh mạng toàn cầu. Hành động này là một nỗ lực lớn nhằm chống lại các cuộc tấn công mạng ngày càng tinh vi.
Theo lệnh của tòa án từ Quận phía Nam New York, DCU đã phá vỡ cơ sở hạ tầng kỹ thuật của RaccoonO365, cắt đứt khả năng tiếp cận nạn nhân và nguồn doanh thu của tội phạm mạng. Hoạt động này một lần nữa nhấn mạnh cách các bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS), với mô hình đăng ký sẵn có, đã hạ thấp rào cản tham gia vào tội phạm mạng, đẩy hàng triệu người dùng trên toàn thế giới vào tình trạng rủi ro cao.
RaccoonO365: Dịch vụ Lừa đảo Tinh vi
RaccoonO365, được Microsoft theo dõi với tên Storm-2246, cung cấp các gói đăng ký theo cấp độ. Điều này cho phép người dùng, bất kể chuyên môn kỹ thuật, khởi động các cuộc tấn công lừa đảo quy mô lớn một cách dễ dàng. Kể từ tháng 7 năm 2024, các khách hàng của nền tảng này đã đánh cắp dữ liệu, ít nhất 5.000 thông tin đăng nhập Microsoft trên 94 quốc gia.
Mặc dù nhiều vụ trộm thông tin đăng nhập đã được giảm thiểu nhờ các tính năng bảo mật tích hợp, khối lượng các cuộc tấn công thành công cho thấy sức mạnh lâu dài của kỹ thuật xã hội. Các chiến dịch lừa đảo sử dụng RaccoonO365 là ví dụ điển hình về sự phát triển của các mối đe dọa mạng.
Quy mô và Tác động của các Chiến dịch Phishing
Trong một chiến dịch lớn lấy chủ đề thuế, những kẻ tấn công đã mạo danh các cơ quan thuế chính thức để lừa đảo mục tiêu. Chiến dịch này đã xâm nhập vào hơn 2.300 tổ chức tại Hoa Kỳ. Đáng báo động, ít nhất 20 đơn vị chăm sóc sức khỏe của Hoa Kỳ đã trở thành nạn nhân của các chiến dịch này.
Điều này có nguy cơ gây ảnh hưởng đến việc chăm sóc bệnh nhân bằng cách trì hoãn dịch vụ, làm hỏng kết quả xét nghiệm và làm lộ dữ liệu sức khỏe nhạy cảm. Những hậu quả này có thể dẫn đến thiệt hại đáng kể về tài chính và con người. Việc đánh cắp dữ liệu nhạy cảm từ các tổ chức y tế đặt ra một rủi ro bảo mật nghiêm trọng.
Tính năng Nâng cao của Nền tảng RaccoonO365
RaccoonO365 liên tục cập nhật các tính năng mới để đáp ứng nhu cầu của khách hàng. Dịch vụ này hiện có thể xử lý tới 9.000 địa chỉ mục tiêu mỗi ngày và bao gồm các công cụ để vượt qua kiểm soát xác thực đa yếu tố (MFA). Điều này cho phép kẻ tấn công duy trì quyền truy cập sau khi thông tin đăng nhập bị thu giữ.
Nền tảng này cũng cung cấp tính năng mới nhất là AI-MailCheck, tận dụng Trí tuệ nhân tạo tạo sinh (Generative AI) để tạo ra các email lừa đảo thuyết phục hơn trên quy mô lớn. Điều này làm tăng đáng kể tiềm năng đe dọa của các cuộc tấn công mạng.
Khách hàng có thể chọn từ nhiều cấp độ đăng ký, mỗi cấp độ đều cấp quyền truy cập vào các mẫu email lừa đảo có thương hiệu, các cổng đăng nhập giả mạo và hệ thống phân phối tự động. Hoạt động này được hỗ trợ bởi một kênh hỗ trợ hợp lý trên Telegram, nơi hơn 850 thành viên đã tương tác và trả ít nhất 100.000 USD bằng tiền điện tử.
Số tiền này đủ để cung cấp năng lượng cho hàng trăm triệu tin nhắn lừa đảo hàng năm, cho thấy quy mô và tính chuyên nghiệp của hoạt động này.
Vô hiệu hóa RaccoonO365: Nỗ lực Pháp lý và Kỹ thuật
Các cuộc điều tra đã dẫn các nhà phân tích DCU đến nhà phát triển Joshua Ogundipe có trụ sở tại Nigeria. Ogundipe là tác giả của phần lớn mã RaccoonO365 và đã sắp xếp việc đăng ký tên miền bằng cách sử dụng danh tính giả mạo.
Một lỗi bảo mật hoạt động đã làm lộ một ví tiền điện tử bí mật, cho phép Microsoft xác định và theo dõi các khoản tiền bất hợp pháp. Với hồ sơ tội phạm hiện đã được gửi đến cơ quan thực thi pháp luật quốc tế, Ogundipe và các cộng sự của hắn phải đối mặt với hành động pháp lý nhằm giải thể cả cơ sở hạ tầng hiện tại và tương lai của RaccoonO365.
Việc Microsoft làm gián đoạn RaccoonO365 thể hiện hiệu quả của việc kết hợp thẩm quyền pháp lý với các biện pháp đối phó kỹ thuật. Xem thêm chi tiết về hoạt động này tại Microsoft Blog.
Hợp tác Đa Ngành và Tăng cường An ninh mạng
Để củng cố các cuộc điều tra, Microsoft đang tích hợp các công cụ phân tích blockchain như Chainalysis Reactor. Điều này giúp nâng cao khả năng theo dõi số tiền thu được từ tội phạm và xây dựng bằng chứng chống lại những kẻ phạm tội. Hoạt động này nhấn mạnh tầm quan trọng của việc hợp tác liên ngành trong việc bảo vệ an ninh mạng.
Microsoft đã hợp tác với Cloudflare và Health-ISAC, một tổ chức phi lợi nhuận tập trung vào an ninh mạng chăm sóc sức khỏe. DCU đã đảm bảo việc gỡ bỏ và chia sẻ thông tin tình báo để bảo vệ các lĩnh vực quan trọng. Khi tội phạm mạng phát triển, các hành động pháp lý đơn thuần là không đủ.
Các chính phủ phải hài hòa luật pháp, đẩy nhanh việc truy tố xuyên biên giới và thu hẹp các lỗ hổng quy định mà tội phạm mạng lợi dụng. Trong khi đó, các tổ chức và cá nhân phải luôn cảnh giác bằng cách thực thi xác thực đa yếu tố mạnh mẽ, triển khai các giải pháp chống lừa đảo cập nhật và giáo dục người dùng về các chiến thuật đe dọa mới nổi.
Hoạt động này là một ví dụ điển hình về sức mạnh của sự hợp tác đa ngành: các công ty công nghệ, nhà cung cấp bảo mật, tổ chức phi lợi nhuận và cơ quan thực thi pháp luật làm việc cùng nhau có thể giải thể các mạng lưới tội phạm tinh vi. Bằng cách duy trì các mối quan hệ đối tác này và thúc đẩy các sáng kiến chung, cộng đồng toàn cầu có thể xây dựng khả năng phục hồi chống lại thế hệ mối đe dọa mạng tiếp theo, dễ tiếp cận và được tăng cường bởi AI.
