Cotització de descompte per a múltiples llicències
Seguretat informàtica Una xarxa de bots xinesa massiva de 130.000 dispositius...

Una xarxa de bots xinesa massiva de 130.000 dispositius apunta als comptes de Microsoft 365

El Mura el Seguretat informàtica
Traduir a:
Català

S'ha descobert una potent xarxa de bots vinculada a la Xina llançant atacs de polvorització de contrasenyes a gran escala contra comptes de Microsoft 365, posant empreses i organitzacions en greu risc. Segons SecurityScorecard, aquesta botnet està alimentada per 130.000 dispositius compromesos, la qual cosa la converteix en una de les ciberamenaces més grans d'aquest tipus.

Com funciona l'atac

Aquesta botnet explota els inicis de sessió no interactius i l'autenticació bàsica, dos punts febles de la seguretat de Microsoft 365 que permeten als atacants provar les credencials robades sense activar l'autenticació multifactorial en moltes configuracions.

Els inicis de sessió no interactius s'utilitzen sovint per a l'autenticació servei a servei i protocols heretats com ara POP, IMAP i SMTP, cosa que els fa menys controlats pels equips de seguretat. L'autenticació bàsica, tot i que Microsoft està obsoleta, encara està activa en alguns entorns, permetent que les credencials es transmetin en text pla, un objectiu fàcil per als pirates informàtics.

La botnet pren noms d'usuari i contrasenyes robats, sovint recollits per programari maliciós infostealer, i els prova sistemàticament amb els comptes de Microsoft 365. Si tenen èxit, els atacants accedeixen a dades sensibles, interrompen les operacions empresarials i es mouen lateralment dins d'una organització.

Per què aquest atac és difícil de detectar

Un dels aspectes més espantosos d'aquest atac és el seu sigil. Com que els intents de polvorització de contrasenyes es registren amb inicis de sessió no interactius, molts equips de seguretat no controlen aquests registres de prop. Això permet als atacants passar per sota del radar mentre intenten sistemàticament entrar en comptes.

SecurityScorecard també va identificar servidors de comandament i control als Estats Units, que es comunicaven amb 130.000 dispositius infectats durant un període de quatre hores. Aquests dispositius, probablement part d'una xarxa global més gran, permeten als atacants escalar les seves operacions ràpidament.

Qui hi ha darrere de la botnet?

Tot i que l'atac s'ha relacionat amb un grup d'amenaça xinès, l'atribució continua sent una investigació en curs. Tanmateix, aquesta botnet comparteix característiques amb campanyes de ciberespionatge xineses identificades anteriorment.

En particular, Microsoft va informar l'octubre de 2024 que diversos actors d'amenaces xinesos estaven utilitzant credencials robades d'una operació de polvorització de contrasenyes a gran escala. Aquesta campanya es va associar amb xarxes compromeses conegudes com CovertNetwork-1658, Xlogin i Quad7.

Com protegir la vostra organització

Amb aquesta botnet orientada activament als comptes de Microsoft 365, les organitzacions han de prendre mesures immediates per reforçar la seva seguretat:

  • Desactiveu l'autenticació bàsica si encara està habilitat al vostre entorn.
  • Activeu l'autenticació moderna i l'autenticació multifactor per a tots els usuaris, especialment per als inicis de sessió no interactius.
  • Superviseu regularment els registres d'inici de sessió no interactius per detectar patrons d'inici de sessió inusuals.
  • Utilitzeu contrasenyes úniques i fortes per evitar que la contrasenya s'espergui mitjançant la implementació de polítiques de contrasenyes estrictes i l'aplicació de canvis periòdics.
  • Desplegueu solucions de seguretat de punt final per protegir-vos contra el programari maliciós de robatori d'informació que els pirates informàtics utilitzen per recollir credencials.
  • Geo-restringeix l'accés als comptes de Microsoft 365 si és possible, limitant els inicis de sessió en funció de les ubicacions geogràfiques.

Pensaments finals

La botnet de 130.000 dispositius dirigida a Microsoft 365 és un recordatori contundent que els atacs basats en contrasenyes segueixen sent una de les majors amenaces de ciberseguretat actuals. Com que moltes organitzacions encara confien en mètodes d'autenticació obsolets, els atacants continuen explotant aquestes debilitats.

Amb la seguretat proactiva dels entorns de Microsoft 365, el seguiment de l'activitat inusual i l'aplicació de polítiques d'autenticació sòlides, les empreses poden reduir el risc de ser víctimes d'aquest atac molt sofisticat.

Carregant...