Microsoft aveva recentemente evidenziato che la maggioranza degli attacchi informatici proviene da quattro paesi, uno dei quali è l’Iran. Proprio dalla repubblica islamica arrivano gli attacchi password spray rilevati dal Microsoft Threat Intelligence Center (MSTIC) a partire da fine luglio. I target sono aziende che operano nei settori marittimo, difesa e GIS.
Password spray contro Office 365
Con password spray viene indicato un tipo di attacco effettuato per scoprire le credenziali di login di numerosi account email appartenenti allo stesso dominio. Dopo aver acquisito un elenco di email (ad esempio nome.cognome@azienda.com), i cybercriminali tentano di accedere agli account, utilizzando le password più comuni. Il compito viene ovviamente facilitato dal mancato uso dell’autenticazione multi-fattore.
Il MSTIC ha rilevato una serie di attacchi password spray contro oltre 250 installazioni di Office 365 appartenenti ad aziende statunitensi e israeliane che operano nel settore della difesa, porti del Golfo Persico e società di trasporto marittimo. Sono stati scoperti attacchi anche contro aziende che producono radar militari, droni e GIS.
Microsoft ha assegnato agli autori il nome DEV-0343, in quanto non sono stati identificati, ma le prove raccolte portano a cybercriminali che risiedono in Iran. Gli attacchi sono stati effettuati emulando il browser Firefox e usando numerosi indirizzi IP di una rete Tor. I target principali sono le funzionalità Autodiscover e ActiveSync di Exchange.
L’azienda di Redmond consiglia di attivare l’autenticazione multi-fattore, rafforzare le policy di accesso per Exchange Online e utilizzare soluzioni “passwordless”, come Microsoft Authenticator.
Ti potrebbe interessare
13 ott 2021