Microsoft démantèle le réseau de phishing RaccoonO365 et saisit 338 sites web.

L'unité de lutte contre la cybercriminalité (DCU) de Microsoft a démantelé un service de cybercriminalité appelé RaccoonO365. L'entreprise a annoncé le 16 septembre avoir saisi, grâce à une ordonnance du tribunal du district sud de New York, 338 sites web liés à l'opération RaccoonO365, un outil populaire pour les criminels cherchant à voler les informations des utilisateurs.

RaccoonO365, que Microsoft identifie comme Storm-2246, proposait un service d'abonnement permettant à quiconque, même sans compétences techniques, de voler les identifiants et mots de passe Microsoft 365. Ce service proposait des kits d'hameçonnage, des outils prêts à l'emploi imitant les communications officielles de Microsoft pour inciter les utilisateurs à divulguer leurs informations.

Depuis juillet 2024, ce service a été utilisé pour voler au moins 5 000 identifiants Microsoft à des victimes dans 94 pays, notamment dans le cadre d'une vaste campagne à caractère fiscal ciblant plus de 2 300 organisations aux États-Unis. Si tous les vols n'entraînent pas une intrusion complète dans le système, le nombre important d'attaques témoigne de l'ampleur du problème.

Les effets de RaccoonO365 vont au-delà du simple vol de données. L'une des utilisations les plus inquiétantes du service a été une campagne d'hameçonnage à grande échelle ciblant au moins 20 organismes de santé américains.

Les courriels d'hameçonnage menant souvent à des attaques plus graves comme les rançongiciels, ces incidents mettent en danger la sécurité publique en retardant les services aux patients et en exposant des données sensibles. C'est pourquoi la DCU s'est associée à Health-ISAC , une association à but non lucratif spécialisée dans la cybersécurité pour le secteur de la santé, pour intenter cette action en justice.

Au cours de l'enquête, la DCU a identifié le chef de l'opération comme étant Joshua Ogundipe, un Nigérian. Lui et ses partenaires ont collaboré pour créer, vendre et soutenir le service. Ils vendaient leurs services sur l'application de messagerie Telegram , où ils comptaient plus de 850 membres et recevaient au moins 100 000 dollars en cryptomonnaies.

Le groupe a également récemment commencé à promouvoir un nouveau service basé sur l'IA, RaccoonO365 AI-MailCheck, conçu pour accroître l'efficacité de ses attaques. Microsoft estime qu'Ogundipe a écrit la majeure partie du code informatique de RaccoonO365.

Le groupe a soigneusement dissimulé son identité, mais une erreur a révélé un portefeuille secret de cryptomonnaies, ce qui a permis à la DCU de relier Ogundipe à l'opération. Les informations concernant Ogundipe ont été transmises aux forces de l'ordre internationales pour suite à donner.

Cette opération démontre que la cybercriminalité est désormais accessible et accessible à presque tous. Comme le souligne Microsoft : « Les cybercriminels n’ont pas besoin d’être sophistiqués pour causer des dommages à grande échelle », mais cette action envoie « un signal clair : Microsoft et ses partenaires resteront déterminés à traquer ceux qui ciblent nos systèmes. »

Pour y remédier, Microsoft utilise de nouvelles méthodes, comme l'outil d'analyse de blockchain Chainalysis Reactor, qui trace les paiements en cryptomonnaies et identifie les criminels. L'entreprise collabore également fréquemment avec des entreprises de sécurité comme Cloudflare pour démanteler rapidement les sites web malveillants.

Outre les solutions techniques, les experts soulignent le rôle crucial des défenses humaines dans cette lutte. Erich Kron , responsable de la sensibilisation à la sécurité chez KnowBe4, a déclaré que « le phishing par e-mail demeure une menace majeure à laquelle les organisations sont confrontées au quotidien ». Il a expliqué que les services de phishing facilitent grandement l'accès à la cybercriminalité pour les criminels peu familiarisés avec les technologies.

Kron a souligné que le vol d’informations d’identification peut être particulièrement dangereux car « les gens ont tendance à réutiliser les mots de passe sur différents comptes et services », ce qui signifie qu’un attaquant qui vole un mot de passe peut accéder à de nombreux autres comptes.

Pour contrer ce phénomène, a-t-il déclaré, les organisations doivent mettre en place un programme de gestion des risques humains (GRH) bien établi afin de former les utilisateurs à repérer les fausses pages de connexion et à comprendre les dangers liés à la réutilisation de mots de passe. Enfin, il recommande de déployer l'authentification multifacteur (MFA) autant que possible afin de rendre la tâche encore plus difficile aux attaquants en cas de vol d'identifiants.