De acordo com a Microsoft, vários ataques de pulverização de senhas foram direcionados contra os 250 usuários do Office 365 no setor de tecnologia de defesa israelense e norte-americano. Os invasores cibernéticos tentam entrar em várias contas usando senhas comuns. Essa técnica depende de usuários que usam variações de senhas comuns.
Os ataques cibernéticos foram focados em uma organização de infraestrutura significativa localizada no Golfo Pérsico e foram realizados por um grupo (provavelmente iraniano) rastreado como DEV-0343. Essa tag DEV significa que o grupo de criminosos cibernéticos é um grupo de ataque patrocinado pelo estado não confirmado, mas pode se tornar um.
O Microsoft Threat Intelligence Center (MSTIC) afirmou que percebeu o DEV-0343 “conduzindo uma extensa pulverização de senhas contra mais de 250 locatários do Office 365, com foco em empresas de tecnologia de defesa dos EUA e de Israel, portos de entrada do Golfo Pérsico ou empresas globais de transporte marítimo com presença comercial no Oriente Médio."
A Microsoft alegou que os locatários comprometidos estavam abaixo de 20.
As organizações que implantam religiosamente a autenticação multifator têm uma chance significativamente baixa de comprometimento por ataques de pulverização de senha.
Este grupo de cibercriminosos tem como alvo empresas que apoiam organizações israelenses, da UE e dos EUA que produzem drones, sistemas de comunicação de resposta a emergências, radares militares, análises espaciais, sistemas de satélite, empresas de transporte marítimo e de carga e portos do Golfo Pérsico na região.
De acordo com a Microsoft:
“A Microsoft avalia que esse direcionamento apoia o rastreamento do governo iraniano de serviços de segurança adversários e transporte marítimo no Oriente Médio para aprimorar seus planos de contingência. Obter acesso a imagens comerciais de satélite e planos e registros de remessa proprietários pode ajudar o Irã a compensar seu programa de satélite em desenvolvimento", disse.
Na semana passada, uma bandeira vermelha foi levantada pela Microsoft sobre hackers patrocinados pelo estado russo que rotularam os hackers de inteligência russos como uma ameaça ativa em todo o mundo. A gigante da tecnologia declarou ainda que os hackers apoiados pelo Kremlin são muito eficazes e prolíficos. Ele também mencionou um aumento significativo no hacking iraniano em empresas iranianas.
No último Relatório de Defesa Digital da Microsoft, a empresa observou:
“Este ano marcou uma quase quadruplicação no direcionamento de entidades israelenses, resultado exclusivamente de atores iranianos, que se concentraram em Israel à medida que as tensões aumentaram acentuadamente entre os adversários”
O recente aviso da gigante da tecnologia para organizações israelenses e norte-americanas no Oriente Médio menciona que eles devem estar vigilantes e procurar conexões suspeitas do Tor em suas redes.
A Microsoft os alertou em uma postagem no blog:
“O DEV-0343 realiza extensas pulverizações de senha emulando um navegador Firefox e usando IPs hospedados em uma rede proxy Tor. Eles são mais ativos entre domingo e quinta-feira, entre 7h30 e 20h30, horário do Irã (04:00:00 e 17:00:00 UTC), com quedas significativas na atividade antes das 7h30 e depois das 8h: 30 PM Hora do Irã. Eles normalmente visam dezenas a centenas de contas dentro de uma organização, dependendo do tamanho, e enumeram cada conta de dezenas a milhares de vezes. Em média, entre 150 e mais de 1.000 endereços IP de proxy Tor exclusivos são usados em ataques contra cada organização.”
O DEV-0343 frequentemente realiza ataques de pulverização de senhas e tem como alvo os endpoints do Exchange, como ActiveSync e Autodiscover, o que permite que esse grupo de hackers refine ainda mais sua atividade de pulverização de senhas, disse a Microsoft.
A principal defesa recomendada pela Microsoft para conter isso é habilitar a autenticação multifator. Isso bloqueará o acesso remoto às contas. A gigante também recomenda aplicar as políticas de acesso do Exchange Online, executar verificações frequentes de administração e procurar qualquer tipo de tráfego de entrada de uma rede Tor ou outros serviços.