Cotație de reducere pentru licențe multiple
Securitatea computerelor Botnet masiv chinezesc de 130.000 de dispozitive vizează...

Botnet masiv chinezesc de 130.000 de dispozitive vizează conturile Microsoft 365

Până în Mura în Securitatea computerelor
Tradu in:
Română

O rețea botnet puternică legată de China a fost surprinsă lansând atacuri de pulverizare a parolelor la scară largă împotriva conturilor Microsoft 365, punând companiile și organizațiile în pericol grav. Potrivit SecurityScorecard, acest botnet este alimentat de 130.000 de dispozitive compromise, ceea ce o face una dintre cele mai mari amenințări cibernetice de acest gen.

Cum funcționează atacul

Această rețea botnet exploatează conectările non-interactive și autentificarea de bază, două puncte slabe ale securității Microsoft 365 care permit atacatorilor să testeze acreditările furate fără a declanșa autentificarea cu mai mulți factori în multe configurații.

Conectările non-interactive sunt adesea folosite pentru autentificarea de la serviciu la serviciu și protocoalele vechi, cum ar fi POP, IMAP și SMTP, ceea ce le face mai puțin analizate de echipele de securitate. Autentificarea de bază, deși este depreciată de Microsoft, este încă activă în unele medii, permițând transmiterea acreditărilor în text simplu - o țintă ușoară pentru hackeri.

Rețeaua bot preia nume de utilizator și parole furate, adesea colectate de programele malware infostealer, și le testează sistematic pe conturile Microsoft 365. Dacă au succes, atacatorii obțin acces la date sensibile, întrerup operațiunile de afaceri și se deplasează lateral în cadrul unei organizații.

De ce acest atac este greu de detectat

Unul dintre cele mai înfricoșătoare aspecte ale acestui atac este stealth-ul său. Deoarece încercările de pulverizare a parolelor sunt înregistrate sub conectări non-interactive, multe echipe de securitate nu reușesc să monitorizeze îndeaproape aceste înregistrări. Acest lucru permite atacatorilor să se strecoare sub radar în timp ce încearcă sistematic să intre în cont.

SecurityScorecard a identificat, de asemenea, servere de comandă și control din Statele Unite, care comunicau cu 130.000 de dispozitive infectate pe o perioadă de patru ore. Aceste dispozitive, probabil parte a unei rețele globale mai mari, permit atacatorilor să-și extindă operațiunile rapid.

Cine se află în spatele rețelei bot?

Deși atacul a fost legat de un grup de amenințare chinez, atribuirea rămâne o investigație în curs. Cu toate acestea, această rețea botnet împărtășește caracteristici cu campaniile de spionaj cibernetic din China identificate anterior.

În special, Microsoft a raportat în octombrie 2024 că mai mulți actori de amenințări chinezi foloseau acreditări furate dintr-o operațiune de pulverizare a parolelor la scară largă. Această campanie a fost asociată cu rețele compromise cunoscute sub numele de CovertNetwork-1658, Xlogin și Quad7.

Cum să vă protejați organizația

Cu această rețea botnet care vizează în mod activ conturile Microsoft 365, organizațiile trebuie să ia măsuri imediate pentru a-și consolida securitatea:

  • Dezactivați autentificarea de bază dacă este încă activată în mediul dvs.
  • Activați autentificarea modernă și autentificarea cu mai mulți factori pentru toți utilizatorii, în special pentru conectările non-interactive.
  • Monitorizați în mod regulat jurnalele de conectare non-interactive pentru modele de conectare neobișnuite.
  • Utilizați parole puternice și unice pentru a preveni pulverizarea parolelor prin implementarea politicilor stricte privind parolele și aplicarea modificărilor regulate.
  • Implementați soluții de securitate pentru punctele terminale pentru a vă proteja împotriva programelor malware de furt de informații pe care hackerii îl folosesc pentru a colecta acreditări.
  • Geo-restricționați accesul la conturile Microsoft 365, dacă este posibil, limitând conectările în funcție de locațiile geografice.

Gânduri finale

Rețeaua botnet de 130.000 de dispozitive care vizează Microsoft 365 este o reamintire clară a faptului că atacurile bazate pe parole sunt încă una dintre cele mai mari amenințări la adresa securității cibernetice în prezent. Cu multe organizații care se bazează încă pe metode de autentificare învechite, atacatorii continuă să exploateze aceste puncte slabe.

Prin securizarea proactivă a mediilor Microsoft 365, monitorizarea activității neobișnuite și aplicarea unor politici puternice de autentificare, companiile își pot reduce riscul de a deveni victima acestui atac extrem de sofisticat.

Se încarcă...