Organizações no Oriente Médio estão enfrentando uma nova campanha de password spray direcionada a inquilinos do Microsoft 365, associada a um ator de ameaça vinculado ao Irã. Ao contrário de ataques que começam com arquivos de malware ou exploits de software, os atacantes estão tentando invadir através de senhas fracas e contas em nuvem expostas. O caso demonstra como um ataque básico de identidade ainda pode abrir acesso a e-mails, documentos e ferramentas de administração dentro de um único inquilino.
Contexto e escopo da operação
De acordo com o relatório, a atividade ocorreu em três ondas em 3 de março, 13 de março e 23 de março de 2026, com foco principal em Israel e nos Emirados Árabes Unidos. Mais de 300 organizações em Israel e mais de 25 nos Emirados Árabes Unidos foram afetadas, enquanto conjuntos menores de alvos também foram vistos na Europa, nos Estados Unidos, no Reino Unido e na Arábia Saudita. Entidades governamentais, municípios, grupos de energia e empresas privadas estavam todos no escopo.
Após a segunda onda chamar a atenção, pesquisadores da Check Point identificaram a operação como uma campanha vinculada ao Irã direcionada a ambientes em nuvem do Microsoft 365. A empresa avaliou com confiança moderada que o ator origina-se do Irã, com base nos setores visados, no foco regional e no comportamento técnico visto nos logs de login. Os pesquisadores também vincularam o direcionamento de municípios israelenses a possíveis operações cinéticas e avaliação de danos de bombardeio durante março.
Técnica de ataque e evasão
O password spray difere de um ataque de força bruta clássico porque tenta algumas senhas comuns contra muitas contas em vez de atacar repetidamente um único usuário. Nesta campanha, o ator usou muitos endereços IP de origem, o que tornou o bloqueio baseado em IP simples menos útil e tornou a atividade mais fácil de perder como ruído de login de fundo.
Uma vez que credenciais válidas foram encontradas, os atacantes puderam mover-se para caixas de correio e outros dados sensíveis na nuvem sem primeiro soltar malware barulhento. O ciclo de ataque descreve três etapas: varredura, infiltração e exfiltração. Durante a varredura, o ator usou nós de saída Tor que mudavam frequentemente e enviava solicitações com um agente de usuário feito para parecer o Internet Explorer 10 no Windows 7.
Essa rotação reduziu o valor de indicadores únicos e forçou os defensores a olhar para o tempo, volume e a propagação de logins falhos entre contas. O próximo passo começou quando os atacantes encontraram credenciais funcionais. A Check Point disse que o processo de login completo mudou então para faixas de VPN comerciais vinculadas à Windscribe e NordVPN que foram geolocalizadas em Israel, um movimento que pode ter ajudado o ator a passar restrições geográficas ou reduzir alertas vinculados ao acesso estrangeiro.
Impacto e alcance
O relatório diz que os municípios israelenses parecem ter sido o foco principal, tanto no número de organizações visadas quanto no volume de tentativas de password spray, mas alvos do setor governamental, de energia e privado também foram atingidos. A recomendação é simples: monitore os logs de login para muitas falhas em contas diferentes de uma única fonte, aplique controles de acesso baseados em localização, bloqueie o Tor sempre que possível, aplique autenticação multifator em todo o inquilino, melhore a higiene da senha e mantenha os logs de auditoria habilitados para investigação pós-comprometimento.
Esses passos importam porque um ataque de password spray não precisa de malware avançado para causar dano; uma senha fraca pode silenciosamente dar a um adversário acesso duradouro a um espaço de trabalho em nuvem que a equipe confia todos os dias. É por isso que o monitoramento de identidade agora importa tanto quanto o monitoramento de endpoint para organizações que dependem do Microsoft 365 para comunicação diária, porque o caminho de ataque mais simples pode criar a maior abertura quando muitos serviços, usuários e registros ficam atrás de uma senha.
Recomendações para CISOs
Para mitigar riscos semelhantes, os profissionais de segurança devem implementar as seguintes medidas imediatamente:
- Autenticação Multifator (MFA): Garantir que o MFA seja obrigatório para todos os usuários, especialmente para acesso administrativo.
- Monitoramento de Identidade: Implementar soluções que detectem padrões de login anômalos, como múltiplas falhas de contas diferentes de um mesmo IP.
- Controle de Acesso Geográfico: Restringir o acesso a serviços críticos a regiões geográficas específicas quando possível.
- Higiene de Senhas: Enforçar políticas de senhas fortes e rotação regular.
- Logs de Auditoria: Manter logs detalhados de login e acesso para investigação forense.
Perguntas frequentes
Qual a diferença entre password spray e força bruta? O password spray tenta poucas senhas contra muitas contas para evitar bloqueios, enquanto a força bruta ataca uma conta repetidamente.
Como identificar esse tipo de ataque? Procure por múltiplas falhas de login em contas diferentes vindas do mesmo IP ou faixa de IP em um curto período.
O MFA é suficiente para prevenir? O MFA é altamente eficaz, mas deve ser combinado com monitoramento de comportamento e políticas de senha fortes.