Один нигериец. 5000 жертв по всему миру. Загадочный «гений» разоблачен Microsoft

Microsoft совместно с Cloudflare провела масштабную операцию против RaccoonO365 — сервиса, работавшего по PhaaS-модели (Phishing-as-a-Service) и активно использовавшегося для кражи учётных данных Microsoft 365 по всему миру. В результате координированных действий было изъято 338 доменов, что позволило прервать работу инфраструктуры злоумышленников и ограничить доступ к данным жертв. По информации Microsoft Digital Crimes Unit (DCU), только с июля 2024 года мошенники похитили более 5 тысяч учётных записей пользователей из 94 стран.

Суд выдал постановление, на основании которого Microsoft и Cloudflare начали блокировку. Первая волна состоялась 2 сентября 2025 года, а уже 8 сентября операция была полностью завершена: домены были забанены, на страницах появились предупреждения о фишинге , скрипты Cloudflare Workers отключены, а аккаунты преступников заморожены. В компании отметили, что это шаг от точечных действий к широкомасштабному разрушению инфраструктуры, которая обслуживала клиентов RaccoonO365.

По классификации Microsoft, группа получила имя Storm-2246. Её сервис предлагался по подписке: за 30 дней доступ стоил 355 долларов, за 90 — 999 долларов. Организаторы обещали арендаторам надёжный хостинг на «пуленепробиваемых» VPS без скрытых бэкдоров и позиционировали инструмент как «решение для серьёзных игроков». С сентября 2024 года с помощью RaccoonO365 проводились атаки, маскирующиеся под сообщения от известных компаний — Microsoft, DocuSign, Adobe, SharePoint, Maersk. Письма вели на поддельные страницы, где у жертв перехватывались логины и пароли. Эти атаки часто становились подготовительным этапом для внедрения вредоносного ПО и последующего запуска вымогателей.

Особую сложность для защиты представляло использование легитимных функций Cloudflare: проверка CAPTCHA через Turnstile и скрипты для фильтрации автоматического трафика. Такой подход позволял отсеивать нежелательные проверки со стороны исследователей и обеспечивать доступ только «целевым» получателям рассылки. В апреле 2025 года Microsoft фиксировала кампании, связанные с рассылкой налоговых уведомлений и загрузкой Latrodectus, AHKBot, GuLoader и BruteRatel C4, при этом инфраструктура для атак также была основана на RaccoonO365.

По данным компании, только в США под удар попали свыше 2300 организаций, в том числе около 20 медицинских учреждений. Клиенты сервиса могли за день атаковать до 9 тысяч адресов и применять техники обхода многофакторной аутентификации , что обеспечивало длительное присутствие в скомпрометированных системах. Недавно операторы запустили дополнение AI-MailCheck, где заявили об использовании искусственного интеллекта для повышения эффективности атак.

Microsoft связывает создание и продвижение RaccoonO365 с гражданином Нигерии Джошуа Огундипе, чьё имя всплыло из-за ошибки в операциях OpSec, когда был раскрыт криптовалютный кошелёк с платежами. По подсчётам, преступники получили свыше 100 тысяч долларов в цифровой валюте, продав от 100 до 200 подписок. Реклама велась через Telegram-канал с более чем 850 участниками. Огундипе и его ближайшие сообщники всё ещё находятся на свободе, но компания уже передала данные о нём международным правоохранителям.

Cloudflare подчеркнула, что ликвидация сотен доменов и связанных аккаунтов призвана не только поднять издержки для RaccoonO365, но и продемонстрировать другим злоумышленникам, что попытки использовать инфраструктуру компании для атак не останутся безнаказанными. После операции администраторы сервиса заявили о переходе на новые ссылки и пообещали пострадавшим клиентам дополнительную неделю доступа в качестве компенсации.