Um Grande Botnet Chinês com 130.000 Dispositivos Ataca as Contas do Microsoft 365
Um poderoso botnet vinculado à China foi pego lançando ataques de pulverização de senhas em larga escala contra contas do Microsoft 365, colocando empresas e organizações em sério risco. De acordo com o SecurityScorecard, esse botnet é alimentado por impressionantes 130.000 dispositivos comprometidos, tornando-a uma das maiores ameaças cibernéticas do gênero.
Índice
Como Funciona o Ataque
Este botnet explora logins não interativos e autenticação básica, dois pontos fracos na segurança do Microsoft 365 que permitem que invasores testem credenciais roubadas sem acionar a autenticação multifator em muitas configurações.
Os logins não interativos são frequentemente usados para autenticação de serviço para serviço e protocolos legados como POP, IMAP e SMTP, tornando-os menos examinados pelas equipes de segurança. A autenticação básica, embora tenha sido descontinuada pela Microsoft, ainda está ativa em alguns ambientes, permitindo que credenciais sejam transmitidas em texto simples — um alvo fácil para hackers.
O botnet pega nomes de usuários e senhas roubados, geralmente coletados por malware infostealer, e os testa sistematicamente em contas do Microsoft 365. Se bem-sucedidos, os invasores ganham acesso a dados confidenciais, interrompem as operações comerciais e se movem lateralmente dentro de uma organização.
Por Que esse Ataque é Difícil de Se Detectar
Um dos aspectos mais assustadores desse ataque é sua furtividade. Como as tentativas de pulverização de senhas são registradas em logins não interativos, muitas equipes de segurança falham em monitorar esses registros de perto. Isso permite que os invasores passem despercebidos enquanto tentam invadir contas sistematicamente.
O SecurityScorecard também identificou servidores de comando e controle nos Estados Unidos, que estavam se comunicando com 130.000 dispositivos infectados em um período de quatro horas. Esses dispositivos, provavelmente parte de uma rede global maior, permitem que os invasores escalem suas operações rapidamente.
Quem está por Trás do Botnet?
Embora o ataque tenha sido vinculado a um grupo de ameaças chinês, a atribuição continua sendo uma investigação em andamento. No entanto, esse botnet compartilha características com campanhas de ciberespionagem chinesas previamente identificadas.
Notavelmente, a Microsoft relatou em outubro de 2024 que vários atores de ameaças chineses estavam usando credenciais roubadas de uma operação de pulverização de senhas em larga escala. Esta campanha foi associada a redes comprometidas conhecidas como CovertNetwork-1658, Xlogin e Quad7.
Como Proteger a Sua Organização
Com esse botnet visando ativamente contas do Microsoft 365, as organizações devem tomar medidas imediatas para fortalecer sua segurança:
- Desative a autenticação básica se ela ainda estiver ativada no seu ambiente.
- Habilite a autenticação moderna e a autenticação multifator para todos os usuários, especialmente para logins não interativos.
- Monitore regularmente os logs de login não interativos em busca de padrões de login incomuns.
- Use senhas fortes e exclusivas para evitar a pulverização de senhas implementando políticas de senha rígidas e impondo alterações regulares.
- Implante soluções de segurança de endpoint para proteger contra malware infostealer que hackers usam para coletar credenciais.
- Se possível, restrinja geograficamente o acesso às contas do Microsoft 365, limitando os logins com base na localização geográfica.
Considerações Finais
O botnet de 130.000 dispositivos que tem como alvo o Microsoft 365 é um lembrete gritante de que ataques baseados em senhas ainda são uma das maiores ameaças à segurança cibernética hoje. Com muitas organizações ainda contando com métodos de autenticação desatualizados, os invasores continuam a explorar essas fraquezas.
Ao proteger proativamente os ambientes do Microsoft 365, monitorar atividades incomuns e aplicar políticas de autenticação fortes, as empresas podem reduzir o risco de serem vítimas desse ataque altamente sofisticado.