Microsoft, attraverso la Digital Crimes Unit (DCU), sequestra centinaia di siti web per smantellare il servizio di phishing RaccoonO365.

I criminali informatici sfruttano questo strumento di phishing in rapida crescita, per rubare nomi utente e password (le credenziali) di Microsoft 365.

“Con la recente interruzione di RaccoonO365 da parte della Dcu di Microsoft, si è avuto un’ulteriore dimostrazione di quanto rapidamente stia cambiando lo scenario della criminalità informatica”, commenta Irina Artioli, Cyber Protection Evangelist TRU di Acronis.

Secondo Massimo Biagiotti, Cyber Competence Center Manager per Maticmind, “l’azione di Microsoft contro RaccoonO365 evidenzia quanto la sicurezza non possa più essere affrontata solo come un tema tecnico, ma debba rientrare pienamente nella governance aziendale e nei requisiti di compliance”.

Ecco come mitigare il rischio.

Microsoft in lotta contro il phishing: il caso RaccoonO365

Grazie a un’ordinanza del tribunale del distretto meridionale di New York, la DCU ha sequestrato 338 siti web associati al popolare servizio, bloccando l’infrastruttura tecnica dell’operazione e impedendo ai criminali di accedere alle vittime.

Ancora una volta, il caso dimostra che i criminali informatici non devono essere sofisticati hacker per provocare danni su larga scala. Infatti, bastano strumenti semplici come RaccoonO365 per democratizzare il crimine informatico, mettendo a rischio milioni di utenti.

“Nel nostro Acronis Cyberthreats Report H1 2023 avevamo analizzato Raccoon Stealer, uno degli infostealer più diffusi e pericolosi dal 2019, in grado di sottrarre dati dai browser, portafogli di criptovalute e persino password manager attraverso tecniche avanzate di evasion e injection”, spiega Irina Artioli: “Queste campagne hanno evidenziato come gli infostealer rappresentino spesso il primo tassello di un effetto domino che porta a violazioni di rete, furti di identità e, in ultima istanza, ad attacchi ransomware“.

Tuttavia, RaccoonO365, tracciato da Microsoft come Storm-2246, è evoluto ed ora offre kit di phishing in abbonamento.

“Oggi, infatti, si osserva una chiara evoluzione strategica: dal malware sviluppato su misura come Raccoon Stealer o RedLine si è passati a piattaforme di Phishing-as-a-Service come RaccoonO365 o EvilProxy”, mette in guardia Irina Artioli: “Invece di puntare sulla distribuzione del malware, i criminali informatici scelgono ora kit in abbonamento che permettono anche ad attori con scarse competenze di lanciare campagne di phishing su vasta scala”.

Il phishing-as-a-service, accessibile a chiunque paghi, consente a tutti, anche a chi ha scarse competenze tecniche, di rubare le credenziali Microsoft imitando le comunicazioni ufficiali dell’azienda.

Per ingannare gli utenti, i kit di RaccoonO365 sfruttano il marchio Microsoft per far sembrare legittimi email, allegati e siti web fraudolenti, invitando i destinatari ad aprirli, effettuare click ed inserire i propri dati sensibili, credenziali incluse.

“Il modello del phishing as-a-service aumenta in modo esponenziale il rischio operativo: non solo sottrazione di credenziali, ma anche esposizione a sanzioni e obblighi di notifica previsti da normative come il Gdpr in Europa o la Direttiva NIS 2 per i settori essenziali”, avverte Biagiotti.

I dettagli

Dal luglio 2024, i kit di RaccoonO365 sono sserviti a cyber criminali per rubare almeno 5.000 credenziali Microsoft da 94 paesi.

Non tutte le informazioni rubate comportano la compromissione delle reti o frodi grazie alla varietà di funzioni di sicurezza impiegate per porre rimedio alle minacce. Tuttavia queste cifre sottolineano la portata della minaccia e come l’ingegneria sociale rimanga una tattica preferita dai criminali informatici.

Più in generale, il rapido sviluppo, la commercializzazione e l’accessibilità di servizi come RaccoonO365 indicano che stiamo entrando in una nuova fase preoccupante del crimine informatico, in cui le truffe e le minacce sono destinate a moltiplicarsi in modo esponenziale.

“RaccoonO365 va oltre, infatti”, mette in evidenza Irina Artioli, “introducendo moduli basati su AI in grado di aggirare l’autenticazione a più fattori e di incrementare l’automazione, a conferma di come le stesse tecnologie adottate dai difensori vengano ormai utilizzate anche dagli aggressori”.

Microsoft lancia l’allarme: sanità nel mirino di RaccoonO365

Sebbene i servizi RaccoonO365 colpiscano tutti i settori, come testimonia un’ampia campagna di phishing a tema fiscale che ha preso di mira oltre 2.300 organizzazioni negli Stati Uniti, ad allarmare Microsoft è il fatto che i suoi kit siano stati utilizzati contro almeno 20 organizzazioni sanitarie statunitensi.

Ciò mette a rischio la sicurezza pubblica, poiché le e-mail di phishing di RaccoonO365 sono spesso un precursore di malware e ransomware, che hanno gravi conseguenze per gli ospedali.

In questi attacchi, i servizi ai pazienti subiscono ritardi, le cure critiche si posticipano o cancellano, si compromettono i risultati di laboratorio e si violano dati sensibili, causando gravi perdite finanziarie e ripercussioni dirette sui pazienti.

Queste gravi conseguenze sono uno dei motivi principali per cui la DCU ha intentato questa causa in collaborazione con Health-ISAC, un’organizzazione globale senza scopo di lucro che si occupa di sicurezza informatica e intelligence sulle minacce per il settore sanitario.

“La preoccupazione” sale “per settori critici come quello sanitario, dove il phishing apre spesso la strada al ransomware e mette a rischio vite umane. Si sono già osservati schemi simili in campagne in cui le credenziali sottratte vengono successivamente vendute nei mercati underground, alimentando attacchi secondari come compromissioni della posta elettronica aziendale o intrusioni nella supply chain, amplificati da funzionalità basate su AI come ‘AI-MailCheck’”, avverte Irina Artioli.

Come proteggersi

“In quest’ottica, la resilienza non è soltanto una best practice, ma un dovere normativo che richiede controlli documentabili, procedure di incident response verificate e misure di autenticazione realmente robuste”, sottolinea Biagiotti.

Per mitigare i rischi connessi al phishing e al social engineering, servono formazione continua ed uso di simulazioni per rafforzare la consapevolezza e restare sempre vigili.

Oltre a mantenere aggiornati sistemi operativi, softyware e app, occorre adottare autenticazione a due fattori e un approccio Zero Trust. Ma non basta.

“Questo caso ricorda infatti quanto sia necessario un impegno congiunto contro gli ecosistemi della criminalità informatica: aziende tecnologiche, istituzioni giudiziarie e organizzazioni no-profit devono collaborare per il bene comune. Allo stesso tempo, non è possibile delegare la responsabilità esclusivamente alle forze dell’ordine: è fondamentale implementare MFA robuste, filtri avanzati per la posta elettronica, un monitoraggio proattivo dei sistemi e, naturalmente, programmi di Security awareness training per accrescere il livello di consapevolezza degli utenti e dei difensori”.

La postura di sicurezza in azienda

“Dal lato offensive, guardo a kit come RaccoonO365 come a una cartina di tornasole delle nostre difese. Simulare scenari di attacco che riproducano le stesse tecniche, inclusi i tentativi di bypass MFA, permette di validare non solo la solidità dei controlli tecnici, ma anche l’effettiva capacità dell’organizzazione di rispettare i requisiti di legge in termini di prevenzione, rilevazione e notifica“, ricorda Biagiotti.

“In un contesto in cui le minacce si rigenerano rapidamente, la capacità di anticiparle attraverso attività di red teaming e threat hunting diventa parte integrante non solo della strategia di sicurezza, ma anche della conformità normativa”, conclude Massimo Biagiotti.