Microsoft Entra

Recentemente, grupos de ameaças têm direcionado ataques a organizações de tecnologia, manufatura e finanças, utilizando uma combinação de phishing por código de dispositivo e vishing para comprometer contas do Microsoft Entra. Ao contrário de ataques anteriores que usavam aplicativos OAuth maliciosos, essas campanhas aproveitam IDs de cliente OAuth legítimos e o fluxo de autorização de dispositivo para enganar as vítimas a autenticarem-se. Isso permite que os atacantes obtenham tokens de autenticação válidos, acessando contas sem depender de sites de phishing tradicionais que roubam senhas ou interceptam códigos de autenticação multifator. O grupo ShinyHunters, conhecido por extorsões, foi associado a esses novos ataques. Os atacantes utilizam engenharia social para convencer os funcionários a inserir códigos gerados em páginas de autenticação da Microsoft, o que resulta em acesso não autorizado a serviços corporativos, como Microsoft 365 e Salesforce. Especialistas recomendam que as organizações bloqueiem domínios maliciosos, auditem consentimentos de aplicativos OAuth e revisem logs de autenticação. A situação é preocupante, pois o fluxo de autenticação foi projetado para facilitar a conexão de dispositivos com opções de entrada limitadas, tornando-o vulnerável a abusos.

O grupo de cibercriminosos conhecido como Storm-0501 tem aprimorado suas táticas para realizar ataques de exfiltração de dados e extorsão, focando em ambientes de nuvem. Ao contrário do ransomware tradicional, que geralmente criptografa arquivos em redes locais, o Storm-0501 utiliza capacidades nativas da nuvem para exfiltrar rapidamente grandes volumes de dados, destruir informações e backups, e exigir resgates, tudo isso sem depender de malware convencional. Desde sua primeira documentação pela Microsoft em 2024, o grupo tem atacado setores como governo, manufatura e transporte nos EUA, mostrando uma evolução para um modelo de ransomware como serviço (RaaS). O acesso inicial é frequentemente facilitado por corretores de acesso, explorando credenciais comprometidas ou vulnerabilidades em servidores expostos. Recentemente, o grupo realizou um ataque a uma grande empresa, utilizando técnicas como DCSync para extrair credenciais do Active Directory e, em seguida, comprometer um servidor de sincronização do Entra Connect. Após a exfiltração de dados, o grupo deletou recursos críticos da Azure, dificultando a recuperação pela vítima. A Microsoft implementou mudanças para mitigar esses ataques, incluindo atualizações no Entra Connect e recomendações para habilitar o Trusted Platform Module (TPM) nos servidores de sincronização.