A Unidade de Crimes Digitais (Digital Crimes Unit – DCU, em inglês) da Microsoft desmantelou o RaccoonO365, ferramenta que mais cresce no uso por cibercriminosos para roubar nomes de usuário e senhas (“credenciais”) do Microsoft 365. Utilizando uma ordem judicial concedida pelo Distrito Sul de Nova York, a DCU apreendeu 338 sites associados ao popular serviço, interrompendo a infraestrutura técnica da operação e cortando o acesso dos criminosos às vítimas. Este caso demonstra que cibercriminosos não precisam ser sofisticados para causar danos em larga escala – ferramentas simples como o RaccoonO365 tornam o cibercrime acessível a praticamente qualquer pessoa, colocando milhões de usuários em risco.

O RaccoonO365, rastreado pela Microsoft como Storm-2246, oferece kits de phishing por assinatura. Eles permitem que qualquer pessoa — mesmo quem tem pouca habilidade técnica — roube credenciais da Microsoft simulando comunicações oficiais da empresa. Para enganar as vítimas, os kits do RaccoonO365 usam a identidade visual da Microsoft para criar e-mails, anexos e sites fraudulentos que parecem legítimos, levando os destinatários a clicar e inserir suas informações.

Desde julho de 2024, esses kits foram usados para roubar pelo menos cinco mil credenciais de usuários Microsoft em 94 países. Embora nem toda informação roubada resulte em redes comprometidas ou fraudes, devido a diferentes recursos de segurança empregados para remediar ameaças, esses números mostram a dimensão do perigo e como a engenharia social continua sendo uma tática recorrente entre cibercriminosos. Mais amplamente, o desenvolvimento acelerado, a divulgação e o acesso facilitado a serviços como o RaccoonO365 indicam que estamos entrando em uma nova fase preocupante do cibercrime, na qual golpes e ameaças tendem a se multiplicar exponencialmente.

Embora o RaccoonO365 seja usado para atacar todos os setores, uma campanha de phishing relacionada a impostos atingiu mais de 2.300 organizações nos Estados Unidos. Mais alarmante ainda é que seus kits foram utilizados contra pelo menos 20 instituições de saúde estadunidenses, colocando a segurança pública em risco. Os e-mails de phishing do RaccoonO365 frequentemente precedem malwares e ransomwares, que têm consequências graves para hospitais: atrasos no atendimento de pacientes, adiamento ou cancelamento de cuidados críticos, resultados de exames comprometidos e vazamento de dados sensíveis, gerando enormes prejuízos financeiros e impactos diretos nas pessoas atendidas. Essas consequências são um dos principais motivos pelos quais a DCU entrou com este processo em parceria com a Health-ISAC — uma organização global sem fins lucrativos voltada à cibersegurança e inteligência de ameaças para o setor da saúde.

Evolução rápida do RaccoonO365 e revelação do líder

Em pouco mais de um ano, o RaccoonO365 evoluiu rapidamente, lançando atualizações frequentes para atender à crescente demanda. Esse crescimento acelerado evidencia a importância de agir legalmente agora para interromper as atividades do grupo. Com os serviços do RaccoonO365, clientes podem inserir até 9 mil endereços de e-mail alvo por dia e usar técnicas sofisticadas para burlar proteções como autenticação multifator, roubando credenciais e obtendo acesso persistente aos sistemas das vítimas. Recentemente, o grupo começou a divulgar um novo serviço baseado em IA, o RaccoonO365 AI-MailCheck, criado para aumentar a escala e a sofisticação dos ataques.

Durante a investigação, a DCU também identificou o líder da organização criminosa: Joshua Ogundipe, um indivíduo baseado na Nigéria. Ogundipe e seus associados divulgaram e venderam seus serviços no Telegram, conquistando uma base de clientes crescente. Até o momento do processo, havia mais de 850 membros na plataforma e receberam pelo menos US$ 100 mil em pagamentos via criptomoedas. Estima-se que esse valor represente de 100 a 200 assinaturas, provavelmente abaixo do número real de subscrições vendidas. Importante destacar que cada assinatura não é de uso único — ou seja, uma só assinatura permite o envio de milhares de e-mails de phishing por dia, totalizando potencialmente centenas de milhões de mensagens maliciosas ao ano pela plataforma.

Ogundipe e seus cúmplices têm funções especializadas dentro da organização criminosa: desenvolvem, comercializam e dão suporte ao serviço para ajudar outros cibercriminosos a roubar informações de usuários Microsoft. Para ocultar a operação e evitar detecção, eles registraram domínios na internet usando nomes e endereços fictícios, supostamente localizados em diversas cidades e países. Segundo análise da Microsoft, Ogundipe tem formação em programação e teria escrito a maior parte do código. Uma falha operacional dos criminosos, ao revelarem acidentalmente uma carteira secreta de criptomoedas, ajudou a DCU a identificar e entender suas operações. Um encaminhamento criminal sobre Ogundipe já foi enviado para autoridades internacionais.

Enfrentando um ecossistema global do cibercrime

O caso do RaccoonO365 é exemplo de uma tendência maior: o cibercrime é global, escalável e acessível a qualquer pessoa, independentemente de conhecimentos técnicos. Para combater o RaccoonO365, a Microsoft agiu rapidamente para proteger clientes e prevenir novos danos. Mas os criminosos também evoluem, assim como a Microsoft. Por exemplo, ferramentas de análise em blockchain, como o Chainalysis Reactor, estão sendo integradas às investigações, permitindo rastrear transações em criptomoedas e ligar atividades on-line a identidades reais, fortalecendo as provas.

Em processos legais, a Microsoft também trabalha com empresas de segurança como a Cloudflare para rapidamente apreender e derrubar infraestruturas maliciosas. Dessa forma, corta receitas dos criminosos, gera desconfiança entre seus clientes e deixa claro que a Microsoft e seus parceiros seguirão atuando de forma persistente contra quem ataca seus sistemas. Importante: entrar com um processo é só o começo. Sempre se espera que esses grupos tentem reconstruir suas operações, por isso a DCU continuará tomando novas medidas legais para desmantelar qualquer infraestrutura nova ou ressurgente.

Mesmo assim, existem desafios legais, especialmente em locais onde processar cibercriminosos é difícil. O mosaico de leis internacionais é um grande obstáculo e criminosos aproveitam essas brechas. Governos precisam trabalhar juntos para alinhar legislações, acelerar processos transnacionais e fechar os espaços que permitem a atuação criminosa impune. A comunidade internacional também deve apoiar nações empenhadas em reforçar suas defesas e responsabilizar países que ignoram o combate ao cibercrime. Enquanto a batalha jurídica avança, organizações e indivíduos também devem fortalecer suas próprias defesas, .

Por fim, essa operação mostra o potencial da colaboração entre diferentes setores — empresas de tecnologia, segurança e entidades sem fins lucrativos — cada uma trazendo sua experiência para desmantelar redes criminosas. Ao unir forças de indústria, sociedade civil e governos, é possível gerar maior impacto em todo o ecossistema do cibercrime. A Microsoft reforça o compromisso de atuar em conjunto, cruzando fronteiras e setores, para combater essa ameaça em constante evolução e ajudar a construir um mundo digital mais seguro.