Uma campanha hacker de larga escala está mirando usuários corporativos do Microsoft 365 em todo o mundo, mas com uma quantidade alarmante de alvos brasileiros. De acordo com um relatório divulgado pela empresa de cibersegurança SecurityScorecard, uma botnet de mais de 130 mil dispositivos infectados está sendo usada para tentar invadir e-mails empresariais que não utilizam mecanismos adicionais de segurança.

Os hackers estão se aproveitando de processos de login que nem sempre acionam a autenticação de dois fatores (2FA), tornando as credenciais mais vulneráveis a invasões. Embora amplamente difundidas no âmbito doméstico, essa prática ainda não é muito comum em muitas organizações.

Uma botnet é uma rede de computadores infectados por malware e controlados remotamente por cibercriminosos. Essas redes são frequentemente utilizadas para realizar ataques distribuídos de negação de serviço (DDoS), enviar spam em massa ou, como neste caso, tentar invadir contas em larga escala. A dimensão e sofisticação desta botnet em particular indicam que estamos diante de um grupo de hackers bem organizado e com recursos significativos.

Como o ataque é feito?

Segundo a SecurityScorecard, o processo de ataque começa com o roubo de senhas através de infecções por malware. Essas credenciais são então usadas em tentativas generalizadas de acesso a contas Microsoft 365.

Ataques a contas Microsoft 365 foram descobertos quando inúmeros registros de tentativas malsucedidas de login foram registradas (Imagem: Reprodução/SecurityScorecard)

"Os atacantes estão explorando login não interativos com autenticação básica", explica o relatório. "Esses logins não interativos, comumente usados para autenticação entre serviços, protocolos legados (como POP, IMAP, SMTP) e processos automatizados, não acionam a autenticação multifator em muitas configurações."

A empresa identificou que a botnet realiza ataques de "password spraying", tentando um pequeno número de logins em muitas contas diferentes de uma organização-alvo. Em cerca de 80% dos casos, é feita apenas uma tentativa de login por conta por dia, o que dificulta a detecção por sistemas de proteção.

Ao que tudo indica, os ataques estão sendo coordenados a partir de servidores localizados nos Estados Unidos. No entanto, a SecurityScorecard suspeita que hackers chineses estejam por trás da operação. "A Microsoft avalia que as credenciais adquiridas das operações de password spray da CovertNetwork-1658 são usadas por múltiplos atores de ameaças chineses", afirma um relatório recente da Microsoft citado pela empresa de segurança.

A dimensão da campanha e seu modus operandi silencioso impressionam, mas o que mais chama a atenção é a grande quantidade de alvos brasileiros expostos no relatório da companhia de segurança.

Qual é o objetivo dos hackers?

Com o acesso a contas corporativas do Microsoft 365, os cibercriminosos podem utilizar seus dados para diversos fins maliciosos.

"Se bem-sucedidos, os indíviduos mal-intencionados podem obter acesso a informações sensíveis, causar disrupção nas operações de negócios ou usar a conta comprometida como um trampolim para se infiltrar ainda mais na rede de uma organização", alerta a SecurityScorecard.

Com acesso às contas de e-mail corporativas, os indivíduos podem roubar dados confidenciais, espionar comunicações internas, realizar fraudes de engenharia social direcionadas e até mesmo propagar malware para outros sistemas conectados. Em casos mais graves, o acesso pode ser usado como ponto de partida para ataques mais amplos à infraestrutura de TI da empresa invadida.

O que fazer para não ser uma vítima

Este ataque surge em meio a uma campanha massiva da Microsoft para encorajar os usuários a adotarem métodos mais seguros de autenticação. Prova disso é que desde outubro de 2024 a companhia vem alertando sobre tentativas sucessivas de invasão realizadas por grupos chineses utilizando redes de dispositivos comprometidos.

Registros de como ocorrem as comunicações com hosts comprometidos — quantidade de IDs brasileiros é preocupante (Imagem: Reprodução/SecurityScorecard)

Para se proteger contra essa ameaça, tanto usuários quanto administradores de rede devem tomar medidas urgentes. A primeira e mais importante é habilitar a autenticação multifator (MFA) em todas as contas Microsoft 365, sem exceções. O MFA adiciona uma camada extra de segurança que torna muito mais difícil para os atacantes invadirem uma conta, mesmo que obtenham a senha.

Além disso, é fundamental desativar os métodos de autenticação básica e legados. Embora alguns sistemas mais antigos possam depender desses métodos, o risco de mantê-los ativos supera em muito os benefícios. Administradores devem trabalhar para migrar todos os sistemas e aplicativos para métodos de autenticação modernos e seguros.

A Microsoft também recomenda implementar políticas de acesso condicional, que podem bloquear tentativas de login suspeitas com base em critérios como localização geográfica, dispositivo utilizado e padrões de uso. Essas políticas podem ser altamente eficazes contra ataques de password spraying como o observado nesta campanha.

Usuários individuais devem adotar boas práticas de higiene de senhas, evitando a reutilização de senhas entre contas diferentes e optando por senhas longas e complexas ou, preferencialmente, frases-senha. O uso de um gerenciador de senhas pode facilitar a adoção dessas práticas.

Por fim, tanto usuários quanto organizações devem se manter atentos continuamente sobre as mais recentes ameaças cibernéticas. A segurança da informação é um esforço contínuo, e estar bem informado é o melhor mecanismo de defesa contra qualquer tipo de ataque.

Como o ataque é feito?

Segundo a SecurityScorecard, o processo de ataque começa com o roubo de senhas através de infecções por malware. Essas credenciais são então usadas em tentativas generalizadas de acesso a contas Microsoft 365.

Ataques a contas Microsoft 365 foram descobertos quando inúmeros registros de tentativas malsucedidas de login foram registradas (Imagem: Reprodução/SecurityScorecard)

"Os atacantes estão explorando login não interativos com autenticação básica", explica o relatório. "Esses logins não interativos, comumente usados para autenticação entre serviços, protocolos legados (como POP, IMAP, SMTP) e processos automatizados, não acionam a autenticação multifator em muitas configurações."

A empresa identificou que a botnet realiza ataques de "password spraying", tentando um pequeno número de logins em muitas contas diferentes de uma organização-alvo. Em cerca de 80% dos casos, é feita apenas uma tentativa de login por conta por dia, o que dificulta a detecção por sistemas de proteção.

Ao que tudo indica, os ataques estão sendo coordenados a partir de servidores localizados nos Estados Unidos. No entanto, a SecurityScorecard suspeita que hackers chineses estejam por trás da operação. "A Microsoft avalia que as credenciais adquiridas das operações de password spray da CovertNetwork-1658 são usadas por múltiplos atores de ameaças chineses", afirma um relatório recente da Microsoft citado pela empresa de segurança.

A dimensão da campanha e seu modus operandi silencioso impressionam, mas o que mais chama a atenção é a grande quantidade de alvos brasileiros expostos no relatório da companhia de segurança.

Qual é o objetivo dos hackers?

Com o acesso a contas corporativas do Microsoft 365, os cibercriminosos podem utilizar seus dados para diversos fins maliciosos.

"Se bem-sucedidos, os indíviduos mal-intencionados podem obter acesso a informações sensíveis, causar disrupção nas operações de negócios ou usar a conta comprometida como um trampolim para se infiltrar ainda mais na rede de uma organização", alerta a SecurityScorecard.

Com acesso às contas de e-mail corporativas, os indivíduos podem roubar dados confidenciais, espionar comunicações internas, realizar fraudes de engenharia social direcionadas e até mesmo propagar malware para outros sistemas conectados. Em casos mais graves, o acesso pode ser usado como ponto de partida para ataques mais amplos à infraestrutura de TI da empresa invadida.

O que fazer para não ser uma vítima

Este ataque surge em meio a uma campanha massiva da Microsoft para encorajar os usuários a adotarem métodos mais seguros de autenticação. Prova disso é que desde outubro de 2024 a companhia vem alertando sobre tentativas sucessivas de invasão realizadas por grupos chineses utilizando redes de dispositivos comprometidos.

Registros de como ocorrem as comunicações com hosts comprometidos — quantidade de IDs brasileiros é preocupante (Imagem: Reprodução/SecurityScorecard)

Para se proteger contra essa ameaça, tanto usuários quanto administradores de rede devem tomar medidas urgentes. A primeira e mais importante é habilitar a autenticação multifator (MFA) em todas as contas Microsoft 365, sem exceções. O MFA adiciona uma camada extra de segurança que torna muito mais difícil para os atacantes invadirem uma conta, mesmo que obtenham a senha.

Além disso, é fundamental desativar os métodos de autenticação básica e legados. Embora alguns sistemas mais antigos possam depender desses métodos, o risco de mantê-los ativos supera em muito os benefícios. Administradores devem trabalhar para migrar todos os sistemas e aplicativos para métodos de autenticação modernos e seguros.

A Microsoft também recomenda implementar políticas de acesso condicional, que podem bloquear tentativas de login suspeitas com base em critérios como localização geográfica, dispositivo utilizado e padrões de uso. Essas políticas podem ser altamente eficazes contra ataques de password spraying como o observado nesta campanha.

Usuários individuais devem adotar boas práticas de higiene de senhas, evitando a reutilização de senhas entre contas diferentes e optando por senhas longas e complexas ou, preferencialmente, frases-senha. O uso de um gerenciador de senhas pode facilitar a adoção dessas práticas.

Por fim, tanto usuários quanto organizações devem se manter atentos continuamente sobre as mais recentes ameaças cibernéticas. A segurança da informação é um esforço contínuo, e estar bem informado é o melhor mecanismo de defesa contra qualquer tipo de ataque.