Não é segredo que nos últimos meses a Microsoft passou por momentos difíceis com brechas de segurança. Agora, em outro desenvolvimento preocupante, a empresa descobriu recentemente uma série de ataques de phishing altamente sofisticados orquestrados por um grupo de hackers vinculado ao governo russo chamado Midnight Blizzard, que visava organizações e governos se passando por equipe de suporte técnico no Microsoft Teams.
Como funcionou o hack?
Em vez de usar tentativas regulares de hacking, os hackers utilizaram técnicas inteligentes de engenharia social e alavancaram contas do Microsoft 365 já comprometidas pertencentes a pequenas empresas para criar domínios enganosos que pareciam ser entidades legítimas de suporte técnico. Depois que essas contas falsas estavam funcionando, os hackers enviaram mensagens do Teams contendo iscas de phishing, com o objetivo de roubar credenciais de organizações visadas e, por fim, induzi-las a aprovar solicitações de autenticação multifator (MFA). A autenticação MFA permitiu que os hackers realizassem uma aquisição de conta.
Além disso, em um esforço para contornar as políticas de acesso condicional, os hackers ocasionalmente tentavam adicionar um dispositivo à organização como um dispositivo gerenciado por meio do Microsoft Entra ID (anteriormente conhecido como Azure Active Directory).
Além disso, a Microsoft diz que monitora esses ataques desde o final de maio de 2023 e afetou cerca de 40 organizações em todo o mundo, abrangendo vários setores, incluindo governo, organizações não governamentais (ONGs), serviços de TI, tecnologia, manufatura discreta e mídia. .
Resposta da Microsoft
Em resposta aos ataques de phishing, a Microsoft tomou medidas imediatas e bloqueou o uso de domínios maliciosos no Teams. Além disso, a empresa também está investigando ativamente o assunto e trabalhando para proteger as organizações afetadas. No entanto, até que a investigação seja concluída, a empresa aconselhou usuários e organizações a terem cuidado ao se envolver com contas de suporte desconhecidas.
“Como acontece com qualquer isca de engenharia social, encorajamos as organizações a reforçar as melhores práticas de segurança para todos os usuários e reforçamos que qualquer solicitação de autenticação não iniciada pelo usuário deve ser tratada como maliciosa”, diz a postagem no blog da Microsoft.