Cloudflare neemt deel aan wereldwijde operatie om RaccoonO365 te verstoren
In samenwerking met Microsoft hebben de Cloudforce One- en Trust and Safety-teams van Cloudflare met succes de criminele Phishing-as-a-Service (PhaaS)-organisatie RaccoonO365 ontmanteld.
Een uitgebreide blog beschrijft de gecoördineerde technische en juridische maatregelen die zijn genomen tegen een geavanceerde phishingoperatie die gericht was op Microsoft 365-inloggegevens. De RaccoonO365-groep misbruikte Cloudflare-services en andere infrastructuurproviders om detectie van hun phishingkits te voorkomen.
De reactie van Cloudflare vertegenwoordigt een strategische verschuiving van reactieve, enkelvoudige domeinverwijderingen naar een proactieve, grootschalige ontmanteling gericht op het ontmantelen van de operationele infrastructuur van de actor op ons platform. Door begin september 2025 gecoördineerde actie te ondernemen, willen we de operationele kosten van RaccoonO365 aanzienlijk verhogen en een duidelijke boodschap afgeven aan andere kwaadwillenden: de gratis versie is te duur voor criminele organisaties.
RaccoonO365 is een financieel gedreven criminele organisatie die een PhaaS-model hanteert dat is ontworpen om Microsoft 365-gebruikers breed te targeten, waardoor abonnees hun eigen campagnes voor het verzamelen van inloggegevens kunnen starten. Volgens Microsoft zijn de kits van RaccoonO365 sinds juli 2024 gebruikt om minstens 5000 Microsoft-inloggegevens uit 94 landen te stelen. De e-mailberichten die naar slachtoffers worden verzonden, bevatten meestal een bijlage met een link of QR-code. De kwaadaardige link leidt naar een pagina met een eenvoudige CAPTCHA. Zodra de CAPTCHA is opgelost, wordt de gebruiker doorgestuurd naar een valse Microsoft O365-inlogpagina die is ontworpen om inloggegevens te verzamelen. Als dit lukt, is dit vaak een voorbode van een malware- of ransomware-infectie.
De groep verkoopt abonnementen op zijn ‘RaccoonO365 Suite’, via een privé Telegram-kanaal, dat op 25 augustus 2025 845 leden telde. Het platform werkt met een getrapt prijsmodel met aanbiedingen die zijn gestructureerd om een breed scala aan criminelen aan te spreken, van kortetermijntesters tot degenen die doorlopend campagnes voeren. Er zijn abonnementen met verschillende looptijden, zoals een 30-dagenabonnement voor $ 355 en een 90-dagenabonnement voor $ 999. De dienst accepteert uitsluitend cryptovaluta, waaronder USDT (TRC20, BEP20, Polygon) en Bitcoin (BTC).
Meer informatie is te lezen in de blog van Cloudflare en de blog van Microsoft.
Meer over
Lees ook
Attic Security lanceert publieke tool om bewustzijn over phishingaanvallen te vergroten
Cybersecurity-bewustwordingscampagnes zijn cruciaal om individuen en organisaties te helpen de risico's van cyberdreigingen te herkennen en te beperken. Cybercriminelen richten hun pijlen vaak op individuen via misleidende e-mails en websites die zijn ontworpen om gevoelige informatie te stelen, zoals inloggegevens en financiële gegevens.
Aanvallers misbruiken linkwrapping van Proofpoint en Intermedia om phishing-payloads te verspreiden
De afgelopen maanden heeft het Cloudflare Email Security-team een reeks cybercriminele activiteiten gevolgd. Hierbij werd gebruikgemaakt van Proofpoint- en Intermedia-linkwrapping om phishing-payloads te verbergen. Zowel om het vertrouwen van mensen te winnen als detectie te vertragen om verdedigingsmechanismen te omzeilen.
Jamf Security 360-rapport 2025
Jamf, de standaard in het beheren en beveiligen van Apple in werkomgevingen, heeft zijn jaarlijkse Security 360-rapport uitgebracht, met aparte analyses voor mobiele (iOS en Android) en macOS-omgevingen. Het rapport belicht de risico's waar organisaties mee te maken hebben en biedt inzichten voor securityleiders