Microsoft blocca RaccoonO365, rubate oltre 5.000 credenziali Microsoft 365: colpita anche l'Italia

Microsoft ha annunciato un'azione legale contro RaccoonO365, strumento di phishing-as-a-service (PhaaS) in rapida crescita, impiegato da gruppi criminali per rubare credenziali di accesso a Microsoft 365. L'iniziativa legale, avviata dal tribunale federale del Southern District di New York, ha permesso alla Digital Crimes Unit (DCU) di sequestrare 338 domini web riconducibili al servizio, interrompendone l'infrastruttura e riducendo l'impatto delle campagne attive.

Secondo le stime di Microsoft, dal luglio 2024 RaccoonO365 è stato utilizzato per sottrarre oltre 5.000 credenziali in almeno 94 paesi. In Italia si contano circa 120 vittime, ma i numeri globali evidenziano come questo tipo di strumenti rappresenti una minaccia trasversale. Nonostante le contromisure di sicurezza implementate a livello aziendale e individuale, il phishing rimane una tecnica estremamente efficace, soprattutto grazie al ricorso massiccio all'ingegneria sociale.

Il servizio, monitorato da Microsoft come Storm-2246, funziona tramite kit di phishing in abbonamento che permettono di creare e-mail, allegati e siti web contraffatti con il branding ufficiale Microsoft. Anche utenti privi di competenze tecniche avanzate possono così condurre attacchi su larga scala. Alcune campagne hanno preso di mira oltre 2.300 organizzazioni statunitensi, inclusi almeno 20 enti sanitari, con conseguenze potenzialmente critiche: ritardi nei servizi medici, furti di dati sensibili e gravi danni economici.

La rapidità con cui RaccoonO365 si è evoluto in poco più di un anno è significativa: la piattaforma consente l'invio di fino a 9.000 e-mail di phishing al giorno e ha recentemente introdotto un servizio basato su AI, denominato AI-MailCheck, per rendere gli attacchi ancora più efficaci.

Le indagini hanno portato all'identificazione di Joshua Ogundipe, individuato come leader dell'operazione e basato in Nigeria. Secondo Microsoft, Ogundipe e i suoi collaboratori gestivano la distribuzione e l'assistenza tramite Telegram, dove la comunità collegata a RaccoonO365 conta oltre 850 membri. Sono già stati tracciati pagamenti in criptovalute per almeno 100.000 dollari, legati a un numero compreso tra 100 e 200 abbonamenti.

L'azione legale di Microsoft non si limita al sequestro dei domini: l'azienda, insieme a partner come Cloudflare e Health-ISAC, sta impiegando strumenti di analisi blockchain per rintracciare i flussi di denaro e collaborando con le autorità internazionali per rafforzare le prove e colpire l'intera catena di distribuzione del servizio.

RaccoonO365 rappresenta un caso emblematico di come il cybercrime si stia industrializzando, diventando accessibile e scalabile anche per chi non possiede competenze tecniche avanzate. Microsoft sottolinea la necessità di un maggiore coordinamento internazionale in materia legale, oltre alla diffusione di pratiche di sicurezza consolidate come l'autenticazione a più fattori e l'uso di strumenti anti-phishing aggiornati.