Microsoft Inc. heeft bijna 340 websites in beslag genomen die verbonden waren aan een snelgroeiende Nigeriaanse phishingdienst, een abonnementsdienst. Volgens het bedrijf werden via deze dienst, bekend onder de naam Raccoon0365, minstens 5.000 Microsoft-gebruikersnamen en wachtwoorden buitgemaakt.
Abonnementsdienst
De rechtbank in Manhattan gaf Microsoft begin september toestemming om de domeinen te vorderen. De dienst maakte het abonnees mogelijk om op grote schaal phishingcampagnes uit te voeren, waarbij soms duizenden e-mails tegelijk werden verstuurd. Dat meldde Steven Masada, plaatsvervangend juridisch adviseur van Microsofts Digital Crimes Unit, in een blogpost.
Telegram-kanaal en cryptobetalingen
Raccoon0365 opereerde via een besloten Telegram-kanaal met meer dan 850 abonnees. Leden konden er tools gebruiken om zich voor te doen als vertrouwde merken en slachtoffers te misleiden met valse Microsoft-inlogpagina’s. Sinds de lancering in juli 2024 genereerde de dienst minstens 100.000 dollar in cryptobetalingen voor de beheerders.
Microsoft identificeerde de Nigeriaanse man Joshua Ogundipe als hoofdverantwoordelijke. Hij reageerde vooralsnog niet op verzoeken om commentaar.
“Cybercriminelen hoeven niet bijzonder geavanceerd te zijn om grote schade aan te richten”, aldus Masada. “Met eenvoudige middelen zoals Raccoon0365 wordt cybercrime toegankelijk voor vrijwel iedereen, waardoor miljoenen gebruikers gevaar lopen.”
Gezondheidszorg in het vizier
Uit rechtbankdocumenten blijkt dat een aanzienlijk deel van de aanvallen was gericht op organisaties in New York. In februari 2025 werden meer dan 2.300 organisaties met belasting-gerelateerde phishingmails bestookt.
Volgens Errol Weiss, Chief Security Officer van de Health Information Sharing & Analysis Center (Health-ISAC), zijn minstens vijf Amerikaanse zorginstellingen daadwerkelijk getroffen. In totaal zouden 25 organisaties in de zorgsector doelwit zijn geweest. “Veel aanvallen beginnen simpelweg omdat iemand zijn gebruikersnaam en wachtwoord weggeeft”, waarschuwt Weiss.
Samenwerking met Cloudflare
De daders maakten gebruik van infrastructuurdiensten van Cloudflare om hun activiteiten te verhullen. Cloudflare werkte samen met Microsoft en de U.S. Secret Service om de operatie te ontmantelen en verdere pogingen tot heropbouw te blokkeren.
Volgens Blake Darché, hoofd van threat intelligence bij Cloudflare, maakten de criminelen wel enkele fouten in hun beveiliging, maar waren ze “zeer effectief in het binnendringen van accounts.”
Met de inbeslagname hoopt Microsoft een belangrijke slag te hebben geslagen tegen een dienst die cybercriminaliteit als een abonnementsmodel aanbood.