O grupo de ameaças conhecido como Storm-2949 está realizando ataques direcionados a ambientes de produção do Microsoft 365 e Azure, utilizando aplicações e recursos administrativos legítimos para roubar dados sensíveis. A Microsoft identificou que o grupo emprega engenharia social para obter credenciais do Microsoft Entra ID de usuários com funções privilegiadas, como pessoal de TI e líderes seniores. Os atacantes abusam do fluxo de Redefinição de Senha de Autoatendimento (SSPR), enganando as vítimas para que aprovem solicitações de autenticação multifator (MFA). Após comprometer as contas, eles utilizam a API Microsoft Graph e scripts em Python para explorar usuários, funções e aplicações, acessando serviços como OneDrive e SharePoint para buscar informações críticas, como configurações de VPN e arquivos operacionais de TI.
Além disso, Storm-2949 expande seus ataques para a infraestrutura Azure das vítimas, comprometendo identidades com permissões privilegiadas e extraindo ativos sensíveis. O grupo modifica configurações de acesso em Azure Key Vaults e altera regras de firewall em servidores SQL, utilizando ferramentas como FTP e Kudu para gerenciar serviços de aplicativo. A Microsoft recomenda a adoção de práticas de segurança, como o princípio do menor privilégio e a implementação de MFA resistente a phishing, para mitigar esses ataques.
Fonte: https://www.bleepingcomputer.com/news/security/microsoft-self-service-password-reset-abused-in-azure-data-theft-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
19/05/2026 • Risco: ALTO
ATAQUE
Grupo de ameaças Storm-2949 ataca ambientes Microsoft 365 e Azure
RESUMO EXECUTIVO
O ataque do grupo Storm-2949 representa uma ameaça significativa para organizações que utilizam Microsoft 365 e Azure, com métodos sofisticados de engenharia social e exploração de permissões. A proteção contra esses ataques é crucial para evitar perdas financeiras e garantir a conformidade regulatória.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados sensíveis e comprometimento de contas em larga escala.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Saúde']
📊 INDICADORES CHAVE
Milhares de arquivos baixados em uma única ação.
Indicador
Comprometimento de múltiplas identidades com funções privilegiadas.
Contexto BR
Alteração de configurações em Azure Key Vaults.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs de acesso e autenticação para identificar atividades suspeitas.
2
Implementar MFA resistente a phishing para todos os usuários, especialmente aqueles com funções privilegiadas.
3
Monitorar continuamente operações de gerenciamento de Azure e acessos ao Key Vault.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas em nuvem, especialmente considerando a crescente adoção de serviços como Microsoft 365 e Azure.
⚖️ COMPLIANCE
Implicações na LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
