Microsoft und Cloudflare haben gemeinsam ein milionenschweres Phishing-Netzwerk zerschlagen. Die als RaccoonO365 bekannte Plattform ermöglichte es Kriminellen ohne technische Vorkenntnisse, professionelle Cyberangriffe durchzuführen.

Die koordinierte Aktion führte zur Beschlagnahmung von 338 bösartigen Websites und traf das Herzstück einer der "am schnellsten wachsenden Tools" für den Diebstahl von Microsoft 365-Zugangsdaten, wie Microsoft mitteilte. Seit Juli 2024 erbeutete der Service mindestens 5.000 Unternehmens-Zugänge aus 94 Ländern.

Industrieller Cybercrime: Hacking zum Pauschalpreis

RaccoonO365 funktionierte als Phishing-as-a-Service-Plattform mit über 850 Mitgliedern auf Telegram. Die Abonnements kosteten zwischen 300 Euro für 30 Tage und 845 Euro für drei Monate. Dafür erhielten Kunde fertige Phishing-Kits, die Microsoft 365-Anmeldeseiten perfekt nachahmten.

Besonders raffiniert: Der Service konnte sogar Zwei-Faktor-Authentifizierung umgehen. Mithilfe sogenannter Adversary-in-the-Middle-Techniken fingen die Kriminellen MFA-Codes und Session-Cookies in Echtzeit ab. Zusätzlich blockierte die Plattform Sicherheitsforscher durch spezielle Cloudflare-Skripte.

Deutsche Unternehmen im Visier

Die Angriffe trafen über 2.300 Organisationen allein in den USA – deutsche Zahlen nannte Microsoft nicht. Besonders alarmierend: Mindestens 20 US-Krankenhäuser wurden attackiert. Solche Angriffe können Patientenversorgung verzögern und lebenswichtige Systeme lahmlegen.

Microsoft identifizierte den mutmaßlichen Anführer als Joshua Ogundipe, einen Programmierer aus Nigeria. Blockchain-Analysen der Firma Chainalysis deckten Kryptowährung-Zahlungen von mindestens 85.000 Euro auf.

KI macht Phishing noch gefährlicher

Kurz vor der Zerschlagung warben die RaccoonO365-Betreiber bereits für einen neuen KI-Service namens "RaccoonO365 AI-MailCheck". Dieses Tool sollte mithilfe künstlicher Intelligenz noch überzeugendere und schwerer erkennbare Phishing-Mails erstellen.

"Cyberkriminelle müssen nicht mehr technisch versiert sein, um großen Schaden anzurichten", warnt Steven Masada von Microsofts Digital Crimes Unit. Die Demokratisierung von Hacking-Tools senkt die Einstiegshürden dramatisch.

Anzeige: Phishing trifft Nutzer oft zuerst am Smartphone – per SMS, Messenger oder Mail-App. Wenn Sie WhatsApp, Online-Shopping, PayPal oder Online-Banking nutzen, schützen Sie Ihr Gerät mit 5 einfachen Maßnahmen vor Datendieben. Ein kostenloser Ratgeber erklärt alle Schritte leicht verständlich – ohne Zusatz-Apps. Jetzt das Gratis-Sicherheitspaket für Android sichern

Das Katz-und-Maus-Spiel geht weiter

Doch die Betreiber geben nicht auf. Bereits wenige Tage nach der Aktion meldeten sie sich bei ihren Kunden: Sie würden "alle alten RaccoonO365-Links löschen" und drängten auf ein Upgrade zu einem neuen Plan.

Die Aktion zeigt dennoch die Schlagkraft öffentlich-privater Zusammenarbeit: Microsoft, Cloudflare, das Health Information Sharing Center und die Blockchain-Spezialisten von Chainalysis arbeiteten eng zusammen. Nur so war es möglich, die Infrastruktur des Netzwerks komplett zu durchleuchten und lahmzulegen.

Für Unternehmen bleibt die Botschaft klar: Phishing-resistente Authentifizierung, kontinuierliche Mitarbeiterschulungen und mehrschichtige Sicherheitssysteme sind wichtiger denn je. Denn während eine Plattform fällt, entstehen bereits neue – oft noch raffinierter als ihre Vorgänger.