Microsoft zerschlägt internationales Phishing-Netzwerk

Schlag gegen Cyberkriminalität: Microsoft und Cloudflare haben gemeinsam die Phishing-Plattform RaccoonO365 ausgehebelt. Das internationale Netzwerk hatte über 5.000 Zugangsdaten von Unternehmen in 94 Ländern gestohlen und dabei besonders das deutsche Gesundheitswesen ins Visier genommen.

Die koordinierte Aktion Anfang September führte zur Stilllegung von 338 Domains, die das Rückgrat des kriminellen Dienstes bildeten. Microsoft bezeichnete RaccoonO365 als eine der am schnellsten wachsenden Bedrohungen für Microsoft 365-Konten weltweit.

Cybercrime zum Mieten: Das Geschäftsmodell der Kriminellen

RaccoonO365 funktionierte wie ein digitaler Baukasten für Kriminalität. Für 300 bis 850 Euro monatlich erhielten Abonnenten professionelle Phishing-Tools, die selbst Amateure zu gefährlichen Hackern machten. Das Angebot umfasste täuschend echte Microsoft-E-Mails, gefälschte Login-Seiten und sogar Techniken zur Umgehung der Zwei-Faktor-Authentifizierung.

Die Plattform, die seit Juli 2024 aktiv war, warb über private Telegram-Kanäle mit über 850 Mitgliedern um Kunden. Schätzungsweise 100 bis 200 Abonnenten generierten mindestens 85.000 Euro Umsatz in Kryptowährungen.

Was die Sache besonders brisant macht: Die Kriminellen boten bereits KI-gestützte Services an, um ihre Angriffe noch überzeugender zu gestalten. Die Professionalisierung der Cyberkriminalität erreicht neue Dimensionen.

Anzeige: Phishing-Mails und gefälschte Login-Seiten landen heute oft zuerst auf dem Smartphone. Wer sein Android-Gerät effektiv schützen will, bekommt in einem kostenlosen Ratgeber die 5 wichtigsten Maßnahmen – ohne teure Zusatz-Apps, mit klaren Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking und PayPal. Schließen Sie die häufigsten Sicherheitslücken in wenigen Minuten. Jetzt das Android‑Sicherheitspaket gratis anfordern

Angriff auf kritische Infrastruktur

Besonders alarmierend waren die Attacken auf das Gesundheitswesen. Mindestens 20 amerikanische Krankenhäuser und Gesundheitseinrichtungen wurden zur Zielscheibe der Phishing-Kampagnen. In Deutschland ist die Lage ähnlich kritisch – Experten warnen vor gleichartigen Angriffen auf deutsche Kliniken und Arztpraxen.

Steven Masada von Microsofts Cybercrime-Einheit bringt es auf den Punkt: „Einfache Tools wie RaccoonO365 machen Cyberkriminalität für praktisch jeden zugänglich und setzen Millionen Nutzer einem Risiko aus.“

Der Mann hinter dem Netzwerk

Den Ermittlern gelang ein entscheidender Durchbruch: Joshua Ogundipe aus Nigeria konnte als Drahtzieher identifiziert werden. Der Durchbruch kam, als die Kriminellen versehentlich eine Kryptowährung-Wallet preisgaben – ein fataler Fehler, der die Finanztransaktionen nachverfolgbar machte.

Neue Strategie gegen Cybercrime

Die Aktion markiert einen Strategiewechsel im Kampf gegen Internetkriminalität. Statt einzelne Websites zu sperren, zerstörten Microsoft und Cloudflare die gesamte Infrastruktur des Netzwerks.

Diese proaktive Herangehensweise – eine Kombination aus Gerichtsbeschlüssen, privatwirtschaftlicher Kooperation und Geheimdienst-Informationen – könnte zum neuen Standard werden. Cloudflare betonte, dass das Vorgehen die Betriebskosten für solche Plattformen dramatisch erhöht.

Die Hydra wächst nach

Doch der Erfolg hat seine Grenzen. Bereits Stunden nach der Zerschlagung versuchten die Betreiber über ihren Telegram-Kanal, das Ereignis als geplante „Wiedergeburt“ zu verkaufen. Sie forderten ihre Kunden auf, zu einer neuen Plattform zu wechseln.

Diese Widerstandsfähigkeit zeigt das Kernproblem: Solange die internationalen Gesetze ein Flickwerk bleiben, können sich Cyberkriminelle immer wieder neu organisieren. Microsoft kündigte an, die Verfolgung fortzusetzen – doch die nächste Generation krimineller Plattformen steht bereits in den Startlöchern.