A Check Point Research (CPR) relatou uma campanha coordenada de password spraying direcionada a ambientes Microsoft 365, realizada por um ator de amea\u00e7a associado ao Ir\u00e3.<\/p>\n
Os ataques aconteceram em tr\u00eas ondas distintas, nos dias 3, 13 e 23 de mar\u00e7o de 2026, afetando mais de 300 organiza\u00e7\u00f5es em Israel e pelo menos 25 nos Emirados \u00c1rabes Unidos. O mesmo grupo tamb\u00e9m foi monitorado em alvos espec\u00edficos na Europa, Estados Unidos, Reino Unido e Ar\u00e1bia Saudita.<\/p>\n
Da ciberespionagem ao campo de batalha<\/h2>\n
A an\u00e1lise da Check Point destacou que o setor municipal israelense foi o alvo principal, monitorando tanto o n\u00famero de organiza\u00e7\u00f5es afetadas quanto o volume de tentativas individuais por organiza\u00e7\u00e3o.<\/p>\n
Os dados coletados mostram uma correla\u00e7\u00e3o not\u00e1vel entre as cidades visadas nas opera\u00e7\u00f5es cibern\u00e9ticas e aquelas que sofreram ataques com m\u00edsseis iranianos em mar\u00e7o. Os munic\u00edpios t\u00eam um papel crucial na documenta\u00e7\u00e3o e resposta aos danos causados por esses ataques.<\/p>\n
As conclus\u00f5es sugerem que a opera\u00e7\u00e3o serviu para apoiar os esfor\u00e7os de avalia\u00e7\u00e3o de danos, uma etapa crucial para que um agressor possa entender o impacto de suas a\u00e7\u00f5es e planejar futuras interven\u00e7\u00f5es militares.<\/p>\n
Totalizando, o Ir\u00e3 pode ter explorado o acesso a e-mails de prefeituras para avalizar o estrago causado por seus pr\u00f3prios m\u00edsseis. Os ataques tamb\u00e9m se estenderam a \u00f3rg\u00e3os governamentais, empresas do setor energ\u00e9tico, organiza\u00e7\u00f5es ligadas \u00e0 avia\u00e7\u00e3o, sat\u00e9lites e ao setor mar\u00edtimo, al\u00e9m de companhias do setor privado.<\/p>\n
Funcionamento do ataque<\/h2>\n
O password spraying \u00e9 uma forma de ataque que utiliza um conjunto reduzido de senhas fracas testadas em um grande n\u00famero de contas, ao inv\u00e9s de atacar v\u00e1rias senhas em uma \u00fanica conta, o que facilita a detec\u00e7\u00e3o. O m\u00e9todo \u00e9 estat\u00edstico: em um ambiente com centenas de usu\u00e1rios, ningu\u00e9m escapa de senhas comuns como “Senha123”.<\/p>\n
A Check Point detalhou que o ciclo do ataque foi dividido em tr\u00eas fases. Na primeira, os atacantes realizaram tentativas de autentica\u00e7\u00e3o a partir de n\u00f3s da rede Tor que eram frequentemente rotacionados para dificultar seu rastreamento.<\/p>\n
As solicita\u00e7\u00f5es foram disfar\u00e7adas usando um User-Agent que imita vers\u00f5es antigas do Internet Explorer, com a inten\u00e7\u00e3o de confundir sistemas de monitoramento de tr\u00e1fego.<\/p>\n
Ao descobrirem credenciais v\u00e1lidas, os atacantes conseguiram realizar logins usando endere\u00e7os IP localizados em VPNs comerciais, especificamente de servi\u00e7os como Windscribe e NordVPN, para evitar bloqueios de acesso geogr\u00e1ficos.<\/p>\n
Essa estrat\u00e9gia visa contornar pol\u00edticas condicionais de acesso que muitas organiza\u00e7\u00f5es t\u00eam para prevenir logins de regi\u00f5es inesperadas. Quando conseguiram acesso, os invasores exploraram as credenciais para visualizar e-mails e coletar informa\u00e7\u00f5es sens\u00edveis.<\/p>\n
Atribui\u00e7\u00e3o ao ator iraniano<\/h2>\n
A Check Point Research atribui essa campanha com um n\u00edvel moderado de confian\u00e7a a um ator de origem iraniana. Essa avalia\u00e7\u00e3o se baseia na identifica\u00e7\u00e3o consistente dos alvos com os interesses estrat\u00e9gicos do Ir\u00e3 e em semelhan\u00e7as operacionais com o grupo Gray Sandstorm, que \u00e9 conhecido por empregar ferramentas de red team e a rede Tor para acessos iniciais.<\/p>\n
O uso de infraestrutura comercial hospedada tamb\u00e9m est\u00e1 alinhado com atividades recentes relacionadas a opera\u00e7\u00f5es iranianas na regi\u00e3o.<\/p>\n
Como se proteger<\/h2>\n
Para as organiza\u00e7\u00f5es que utilizam o Microsoft 365, a CPR recomenda que monitorem logs de autentica\u00e7\u00e3o para detectar comportamentos t\u00edpicos de password spraying, incluindo m\u00faltiplas falhas de login em contas diferentes que se originam do mesmo IP em um curto espa\u00e7o de tempo.<\/p>\n
Al\u00e9m disso, implementar boas pr\u00e1ticas de seguran\u00e7a, como atualiza\u00e7\u00f5es regulares de senhas e restri\u00e7\u00f5es geogr\u00e1ficas baseadas em pol\u00edticas de acesso condicional, pode diminuir a superf\u00edcie de ataque. Embora ataques sofisticados possam contornar algumas medidas, como mostrado por essa campanha, a ado\u00e7\u00e3o de autentica\u00e7\u00e3o multifator (MFA) \u00e9 uma recomenda\u00e7\u00e3o chave para fortalecer a seguran\u00e7a, especialmente para contas privilegiadas.<\/p>\n
Registrar logs de auditoria e assegur\u00e1-los com uma reten\u00e7\u00e3o adequada \u00e9 crucial para investigar quaisquer incidentes ap\u00f3s o fato. Acompanhe o TecMania nas redes sociais para mais informa\u00e7\u00f5es e atualiza\u00e7\u00f5es sobre seguran\u00e7a e tecnologia.<\/p>\n
Pesquisadores correlacionam alvos digitais com cidades atingidas por m\u00edsseis iranianos em mar\u00e7o e concluem que a opera\u00e7\u00e3o cibern\u00e9tica serviu a […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-605","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=605"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/605\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}