Preventivo sconto multi-licenza
Sicurezza informatica Enorme botnet cinese da 130.000 dispositivi prende di...

Enorme botnet cinese da 130.000 dispositivi prende di mira gli account Microsoft 365

Entro Mura nel Sicurezza informatica
Traduci in:
Italiano

Una potente botnet legata alla Cina è stata colta mentre lanciava attacchi password spraying su larga scala contro account Microsoft 365, mettendo a serio rischio aziende e organizzazioni. Secondo SecurityScorecard, questa botnet è alimentata da ben 130.000 dispositivi compromessi, il che la rende una delle più grandi minacce informatiche del suo genere.

Come funziona l'attacco

Questa botnet sfrutta gli accessi non interattivi e l'autenticazione di base, due punti deboli della sicurezza di Microsoft 365 che consentono agli aggressori di testare le credenziali rubate senza attivare l'autenticazione a più fattori in molte configurazioni.

Gli accessi non interattivi sono spesso utilizzati per l'autenticazione service-to-service e per protocolli legacy come POP, IMAP e SMTP, rendendoli meno esaminati dai team di sicurezza. L'autenticazione di base, sebbene sia stata deprecata da Microsoft, è ancora attiva in alcuni ambienti, consentendo la trasmissione delle credenziali in testo normale, un facile bersaglio per gli hacker.

La botnet prende nomi utente e password rubati, spesso raccolti da malware infostealer, e li testa sistematicamente sugli account Microsoft 365. In caso di successo, gli aggressori ottengono l'accesso a dati sensibili, interrompono le operazioni aziendali e si muovono lateralmente all'interno di un'organizzazione.

Perché questo attacco è difficile da rilevare

Uno degli aspetti più spaventosi di questo attacco è la sua furtività. Poiché i tentativi di password spraying vengono registrati sotto accessi non interattivi, molti team di sicurezza non riescono a monitorare attentamente questi record. Ciò consente agli aggressori di passare inosservati mentre cercano sistematicamente di entrare negli account.

SecurityScorecard ha anche identificato server di comando e controllo negli Stati Uniti, che comunicavano con 130.000 dispositivi infetti in un periodo di quattro ore. Questi dispositivi, probabilmente parte di una rete globale più ampia, consentono agli aggressori di scalare rapidamente le loro operazioni.

Chi c'è dietro la botnet?

Sebbene l'attacco sia stato collegato a un gruppo di minacce cinese, l'attribuzione rimane un'indagine in corso. Tuttavia, questa botnet condivide caratteristiche con campagne di cyber-spionaggio cinese precedentemente identificate.

In particolare, Microsoft ha segnalato nell'ottobre 2024 che diversi attori cinesi della minaccia stavano utilizzando credenziali rubate da un'operazione di password spraying su larga scala. Questa campagna era associata a reti compromesse note come CovertNetwork-1658, Xlogin e Quad7.

Come proteggere la tua organizzazione

Poiché questa botnet prende di mira attivamente gli account Microsoft 365, le organizzazioni devono adottare misure immediate per rafforzare la propria sicurezza:

  • Disattivare l'autenticazione di base se è ancora abilitata nel tuo ambiente.
  • Abilitare l'autenticazione moderna e l'autenticazione a più fattori per tutti gli utenti, in particolare per gli accessi non interattivi.
  • Monitorare regolarmente i registri di accesso non interattivi per individuare schemi di accesso insoliti.
  • Utilizzare password complesse e univoche per impedire il password spraying, implementando rigide policy sulle password e imponendo modifiche regolari.
  • Implementa soluzioni di sicurezza per gli endpoint per proteggerti dal malware infostealer utilizzato dagli hacker per raccogliere credenziali.
  • Se possibile, limitare geograficamente l'accesso agli account Microsoft 365, limitando gli accessi in base alla posizione geografica.

Considerazioni finali

La botnet da 130.000 dispositivi che ha preso di mira Microsoft 365 è un duro promemoria del fatto che gli attacchi basati su password sono ancora una delle più grandi minacce alla sicurezza informatica odierne. Con molte organizzazioni che si affidano ancora a metodi di autenticazione obsoleti, gli aggressori continuano a sfruttare queste debolezze.

Proteggendo in modo proattivo gli ambienti Microsoft 365, monitorando le attività insolite e applicando criteri di autenticazione rigorosi, le aziende possono ridurre il rischio di cadere vittime di questo attacco altamente sofisticato.

Caricamento in corso...