Mfa

O artigo aborda os desafios enfrentados por equipes de segurança em startups em crescimento rápido, especialmente no contexto do Google Workspace. A principal missão é proteger a organização sem comprometer a agilidade dos negócios. O Google Workspace, embora ofereça uma base sólida de segurança, requer configurações adequadas e monitoramento constante para evitar brechas. O texto destaca práticas essenciais, como a implementação de autenticação multifator (MFA), o endurecimento do acesso administrativo, a configuração de compartilhamento seguro e o controle de acesso a aplicativos OAuth. Além disso, enfatiza a importância de proteger o e-mail contra ameaças, monitorar tentativas de invasão e entender os dados sensíveis armazenados. O artigo também menciona que, apesar das ferramentas nativas de segurança, ainda existem lacunas que podem ser preenchidas por soluções adicionais, como a Material Security, que oferece proteção avançada contra phishing e detecção de contas comprometidas. A abordagem sugere um equilíbrio entre colaboração e controle, permitindo que as equipes de segurança mantenham a produtividade enquanto protegem os dados da empresa.

O ransomware Akira está explorando a vulnerabilidade CVE-2024-40766 para acessar dispositivos VPN SSL da SonicWall, mesmo em contas que utilizam autenticação multifator (MFA). Pesquisadores de segurança, como os da Arctic Wolf Labs, relataram um aumento nos logins maliciosos em instâncias da SonicWall SSL VPN, sugerindo que os atacantes conseguiram comprometer as sementes de senhas de uso único (OTP), permitindo que contornassem as proteções de MFA. Apesar de a SonicWall ter lançado patches e recomendado a redefinição de credenciais, os ataques continuam a ocorrer. O Google identificou um grupo de ameaças, denominado UNC6148, que está utilizando credenciais e sementes de OTP roubadas em campanhas de ataque direcionadas a dispositivos SonicWall SMA 100, que estão fora de suporte. Isso levanta preocupações significativas sobre a eficácia das medidas de segurança implementadas, uma vez que os atacantes estão conseguindo autenticar-se em contas protegidas por MFA. A situação destaca a necessidade de vigilância contínua e de ações proativas para proteger as infraestruturas de TI contra essas ameaças emergentes.

O caso da KNP Logistics Group, que operou por 158 anos, ilustra a fragilidade da segurança cibernética em empresas, mesmo as mais estabelecidas. Em junho de 2025, a empresa foi alvo do grupo de ransomware Akira, que acessou seus sistemas ao adivinhar uma senha fraca de um funcionário. A falta de autenticação multifatorial (MFA) permitiu que os hackers se infiltrassem facilmente, criptografando dados críticos e destruindo backups, resultando em uma demanda de resgate de £5 milhões. Apesar de ter seguro contra ataques cibernéticos e conformidade com normas de TI, a KNP não conseguiu se recuperar e acabou entrando em administração, resultando na demissão de 700 funcionários. O incidente destaca a importância de políticas de senhas robustas e da implementação de MFA, além de um plano de recuperação de desastres eficaz. Com 19.000 empresas no Reino Unido atacadas por ransomware no último ano, a situação é alarmante e exige atenção urgente das organizações para evitar consequências devastadoras.

A Microsoft anunciou que, a partir de outubro de 2024, a autenticação multifator (MFA) será obrigatória para todos os acessos ao portal Azure, como parte de um esforço para aumentar a segurança das contas dos usuários. Pesquisas da empresa indicam que a implementação da MFA pode prevenir mais de 99,2% dos ataques de comprometimento de contas, tornando essa medida crucial para a proteção de recursos na nuvem. A primeira fase da implementação exigirá MFA para operações administrativas em portais como o Azure e o Microsoft 365, enquanto a segunda fase, prevista para outubro de 2025, incluirá ferramentas de linha de comando e APIs. Os usuários que já utilizam MFA ou métodos de login sem senha não notarão mudanças, mas aqueles que não configuraram a MFA serão solicitados a fazê-lo ao tentar acessar suas contas. A Microsoft recomenda que as organizações revisem suas políticas de acesso condicional e realizem testes antes da implementação para evitar interrupções. Essa mudança visa reduzir a superfície de ataque e proteger recursos críticos contra acessos não autorizados.

Uma nova campanha de roubo de credenciais, identificada como MCTO3030 pela equipe de pesquisa de ameaças da Mimecast, está atacando administradores dos serviços em nuvem ConnectWise ScreenConnect. Desde 2022, essa operação tem utilizado táticas avançadas de phishing direcionado, visando profissionais de TI com privilégios de superadministrador. Os ataques são realizados através do Amazon Simple Email Service (SES), permitindo alta taxa de entrega ao explorar uma infraestrutura respeitável para contornar mecanismos de filtragem. Os e-mails, que imitam alertas de segurança corporativa, induzem os destinatários a clicar em um botão de “Revisar Segurança”, redirecionando-os para páginas de login falsas do ScreenConnect. Essas páginas utilizam frameworks EvilGinx para capturar credenciais de login e códigos de autenticação multifatorial (MFA) em tempo real, permitindo que os atacantes obtenham acesso total, mesmo com MFA em vigor. Com as credenciais de superadministrador, os cibercriminosos podem se mover lateralmente em ambientes corporativos, potencialmente implantando clientes remotos e distribuindo cargas maliciosas, como ransomware. A Mimecast recomenda que as organizações adotem medidas de defesa, como MFA resistente a phishing e restrições de acesso para superadministradores.