O laboratório de cibersegurança SecurityScorecard detectou uma nova ameaça digital que invade contas corporativas do Microsoft 365 para roubar informações confidenciais de empresas. O caso envolve uma botnet de grandes proporções e sistemas defasados de login que ainda são utilizados por várias companhias, apesar de representarem um alto risco.
O caso foi descrito em um relatório com detalhes do ataque, que segue em andamento e exige atenção de companhias que utilizam os serviços da Microsoft, mas fornecem maneiras antiquadas e inseguras de acesso. O documento completo pode ser acessado por aqui (em inglês).
A responsável por fazer as invasões em larga escala é uma botnet composta por 130 mil dispositivos comprometidos e sob controle dos bandidos. Essa “rede zumbi” é capaz de realizar tentativas de acesso em massa pela alta quantidade de aparelhos envolvidos, além de ajudar a mascarar a origem do ataque.
Até agora, nenhum grupo reivindicou a autoria do ataque, mas os pesquisadores suspeitam de cibercriminosos de origem chinesa que estabeleceram uma botnet a partir de dispositivos dos Estados Unidos.
Como o ataque acontece
O ataque da botnet começa com a rede tentando acessar contas de usuários do Microsoft 365, que é o pacote de serviços online da companhia. Isso é feito a partir de credenciais anteriormente vazadas ou roubadas de outros perfis, na expectativa de que a vítima repita a mesma senha em diversas contas. Esse método de invasão é chamado na área de pulverização de senhas (ou password spraying no termo original em inglês).
Com a senha em mãos, os cibercriminosos tentam burlar também as formas de verificação de identidade da própria Microsoft. Isso é feito a partir de contas ainda inseguras ou mais antigas que usam métodos de acesso como a Autenticação Básica, que é a forma clássica de login com nome de usuário e senha que armazena esses dados para acessos futuros.
Como esse tipo de login é pouco monitorado por sistemas de segurança, o invasor consegue acesso à conta sem gerar alarde. De posse do perfil corporativo, o plano envolve roubar informações sigilosas de empresas (seja para comercializá-las ou tentar extorquir a companhia) e buscar novas vítimas no mesmo ambiente digital.
A Autenticação Básica da Microsoft foi encerrada para clientes Outlook no ano passado, mas ainda está em fase de ser descontinuada no Microsoft 365. No lugar, a companhia recomenda o uso de chaves de acesso (passkeys) e a configuração de um método de verificação em dois fatores.
