La compañía incautó 340 dominios vinculados a Raccoon0365, un sistema de suscripción que ofrecía herramientas de cibercrimen a más de 850 usuarios. El servicio robó miles de credenciales y puso en riesgo a múltiples sectores, incluida la salud.

Microsoft anunció la incautación de casi 340 sitios web relacionados con Raccoon0365, un servicio de suscripción de phishing con base en Nigeria que permitía a sus miembros llevar a cabo campañas masivas de robo de credenciales. Con una orden judicial emitida en Nueva York, la tecnológica estadounidense interrumpió las operaciones de la red, que desde su lanzamiento en julio de 2024 habría permitido sustraer al menos 5.000 credenciales de acceso de usuarios de Microsoft.

El modelo de negocio de Raccoon0365 se organizaba a través de un canal privado de Telegram con más de 850 suscriptores. A cambio de pagos en criptomonedas, los usuarios podían acceder a plantillas que imitaban páginas de inicio de sesión de Microsoft y lanzar ataques de phishing a gran escala, llegando en ocasiones a enviar miles de correos fraudulentos simultáneamente. Según Microsoft, el servicio ya había generado más de 100.000 dólares en ingresos para sus operadores.

La compañía identificó a Joshua Ogundipe, residente en Nigeria, como principal responsable del servicio. Aunque Ogundipe no respondió a las acusaciones, los documentos judiciales detallan que Raccoon0365 llegó a atacar a más de 2.300 organizaciones, principalmente en Estados Unidos, con campañas basadas en correos electrónicos que simulaban notificaciones impositivas. Un sector particularmente afectado fue el de la salud: al menos cinco organizaciones resultaron comprometidas, mientras que 25 estuvieron bajo amenaza.

Errol Weiss, director de seguridad del Health-ISAC, codemandante en la acción judicial junto a Microsoft, explicó que una vez que los ciberdelincuentes acceden a una red mediante credenciales robadas, las posibilidades de explotación son prácticamente ilimitadas. “Muchos ataques comienzan porque alguien comparte su nombre de usuario y contraseña con alguien malintencionado. A partir de ahí, el ciberdelincuente tiene vía libre para monetizar el acceso”, advirtió.

La investigación también reveló que los operadores de Raccoon0365 utilizaron servicios de Cloudflare para ocultar su infraestructura. La compañía colaboró con Microsoft y con el Servicio Secreto de Estados Unidos para desactivar las cuentas y bloquear intentos de restablecimiento del servicio. Según Blake Darché, jefe de inteligencia de amenazas de Cloudflare, aunque los operadores cometieron errores básicos de seguridad operativa, su capacidad para comprometer cuentas y expandir el alcance de los ataques los convertía en una amenaza significativa.

La operación conjunta supone un golpe contra un modelo de ciberdelito “as-a-service” en expansión, que facilita el acceso al phishing a personas sin conocimientos avanzados y multiplica los riesgos para empresas e instituciones. Microsoft subrayó que continuará colaborando con agencias gubernamentales y socios privados para proteger a sus usuarios frente a amenazas de este tipo.