🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Suspeita-se que um ator ameaçador do nexo com o Irã esteja por trás de uma campanha de pulverização de senhas direcionada a ambientes Microsoft 365 em Israel e nos Emirados Árabes Unidos. em meio ao conflito em curso no Oriente Médio.
A atividade, avaliada como contínua, foi realizada em três ondas de ataque distintas que ocorreram em 3 de março, 13 de março e 23 de março de 2026, por Check Point.
"A campanha se concentra principalmente em Israel e nos Emirados Árabes Unidos, impactando mais de 300 organizações em Israel e mais de 25 nos Emirados Árabes Unidos", disse a empresa israelense de segurança cibernética. "Atividade associada ao mesmo ator também foi observada contra um número limitado de alvos na Europa, nos Estados Unidos, no Reino Unido e na Arábia Saudita."
A campanha foi avaliada como tendo como alvo os ambientes de nuvem de entidades governamentais, municípios, tecnologia, transporte, organizações do setor de energia e empresas do setor privado na região.
A pulverização de senha é uma forma de ataque de força bruta em que um agente de ameaça tenta usar uma única senha comum contra vários nomes de usuário no mesmo aplicativo. Também é considerada uma maneira mais eficaz de descobrir credenciais fracas em grande escala, sem acionar defesas limitadoras de taxas.
A Check Point disse que a técnica é conhecida por ter sido adotada por grupos de hackers iranianos como Peach Sandstorm e Grey Sandstorm (anteriormente DEV-0343) no passado para se infiltrar em redes alvo.
A campanha se desenvolve essencialmente em três fases: verificação agressiva ou pulverização de senhas conduzida a partir de nós de saída do Tor, seguida pela condução do processo de login e exfiltração de dados confidenciais, como o conteúdo da caixa de correio.
"A análise dos registros do M365 sugere semelhanças com o Grey Sandstorm, incluindo o uso de ferramentas de equipe vermelha para conduzir esses ataques por meio de nós de saída do Tor", disse a Check Point. "O ator da ameaça usou nós VPN comerciais hospedados em AS35758 (Rachamim Aviel Twito), o que se alinha com atividades recentes vinculadas às operações do nexo com o Irã no Oriente Médio."
Para combater a ameaça, as organizações são aconselhadas a monitorar os registros de login em busca de sinais de pulverização de senhas, aplicar controles de acesso condicional para limitar a autenticação a locais geográficos aprovados, aplicar a autenticação multifator (MFA) para todos os usuários e ativar registros de auditoria para investigação pós-comprometimento.
Irã revive operações Pay2Key
A divulgação ocorre no momento em que uma organização de saúde dos EUA foi alvo, no final de fevereiro de 2026, da Pay2Key, uma gangue de ransomware iraniana com ligações com o governo do país. A operação de ransomware como serviço (RaaS), que tem ligações com o grupo Fox Kitten, surgiu pela primeira vez em 2020.
A variante implantada no ataque é uma atualização de campanhas anteriores observadas em julho de 2025, usando técnicas aprimoradas de evasão, execução e antiforense para atingir seus objetivos. De acordo com a Beazley Security e a Halcyon, nenhum dado foi exfiltrado durante o ataque, uma mudança no manual de dupla extorsão do grupo.
Diz-se que o ataque aproveitou uma rota de acesso indeterminada para violar a organização, usando uma ferramenta legítima de acesso remoto como o TeamViewer para estabelecer uma posição e, em seguida, coletar credenciais para movimento lateral, desarmar o Microsoft Defender Antivirus sinalizando falsamente que um produto antivírus de terceiros está ativo, inibir a recuperação, implantar ransomware, emitir uma nota de resgate e limpar registros para encobrir os rastros.
"Ao limpar os registros no final da execução, e não no início, os atores garantem que até mesmo a própria atividade do ransomware seja apagada, e não apenas o que a precedeu", disse Halcyon.
Entre as principais mudanças que o grupo promulgou após seu retorno no ano passado estava a oferta aos afiliados de uma redução de 80% nas receitas do resgate, acima dos 70%, pela participação em ataques contra os inimigos do Irã. Um mês depois, uma variante Linux do ransomware Pay2Key foi detectada na natureza.
"A amostra é orientada por configuração, requer privilégios de nível raiz para ser executada e foi projetada para abranger amplo escopo do sistema de arquivos, classificar montagens e criptografar dados usando ChaCha20 em modos completos ou parciais", disse a pesquisadora da Morphisec, Ilia Kulmin, em um relatório publicado no mês passado.
"Antes da criptografia, ela enfraquece as defesas e elimina o atrito, interrompendo serviços, eliminando processos, desativando o SELinux e o AppArmor e instalando uma entrada cron no momento da reinicialização. Isso permite que o criptografador seja executado mais rapidamente e sobreviva às reinicializações."
Em março de 2026, Halcyon também revelou que o administrador do ransomware Sicarii, Uke, instou os operadores pró-iranianos a usarem o Baqiyat 313 Locker (também conhecido como BQTlock) devido ao fluxo de solicitações de afiliados. A BQTLock, que opera com motivos pró-Palestina, tem como alvo os Emirados Árabes Unidos, os EUA e Israel desde julho de 2025.
“O Irã tem um longo histórico de uso de operações cibernéticas para retaliar contra desrespeitos políticos percebidos”, disse a empresa de segurança cibernética. “O ransomware está cada vez mais incorporado nessas operações, com o campo de ransomware
A atividade, avaliada como contínua, foi realizada em três ondas de ataque distintas que ocorreram em 3 de março, 13 de março e 23 de março de 2026, por Check Point.
"A campanha se concentra principalmente em Israel e nos Emirados Árabes Unidos, impactando mais de 300 organizações em Israel e mais de 25 nos Emirados Árabes Unidos", disse a empresa israelense de segurança cibernética. "Atividade associada ao mesmo ator também foi observada contra um número limitado de alvos na Europa, nos Estados Unidos, no Reino Unido e na Arábia Saudita."
A campanha foi avaliada como tendo como alvo os ambientes de nuvem de entidades governamentais, municípios, tecnologia, transporte, organizações do setor de energia e empresas do setor privado na região.
A pulverização de senha é uma forma de ataque de força bruta em que um agente de ameaça tenta usar uma única senha comum contra vários nomes de usuário no mesmo aplicativo. Também é considerada uma maneira mais eficaz de descobrir credenciais fracas em grande escala, sem acionar defesas limitadoras de taxas.
A Check Point disse que a técnica é conhecida por ter sido adotada por grupos de hackers iranianos como Peach Sandstorm e Grey Sandstorm (anteriormente DEV-0343) no passado para se infiltrar em redes alvo.
A campanha se desenvolve essencialmente em três fases: verificação agressiva ou pulverização de senhas conduzida a partir de nós de saída do Tor, seguida pela condução do processo de login e exfiltração de dados confidenciais, como o conteúdo da caixa de correio.
"A análise dos registros do M365 sugere semelhanças com o Grey Sandstorm, incluindo o uso de ferramentas de equipe vermelha para conduzir esses ataques por meio de nós de saída do Tor", disse a Check Point. "O ator da ameaça usou nós VPN comerciais hospedados em AS35758 (Rachamim Aviel Twito), o que se alinha com atividades recentes vinculadas às operações do nexo com o Irã no Oriente Médio."
Para combater a ameaça, as organizações são aconselhadas a monitorar os registros de login em busca de sinais de pulverização de senhas, aplicar controles de acesso condicional para limitar a autenticação a locais geográficos aprovados, aplicar a autenticação multifator (MFA) para todos os usuários e ativar registros de auditoria para investigação pós-comprometimento.
Irã revive operações Pay2Key
A divulgação ocorre no momento em que uma organização de saúde dos EUA foi alvo, no final de fevereiro de 2026, da Pay2Key, uma gangue de ransomware iraniana com ligações com o governo do país. A operação de ransomware como serviço (RaaS), que tem ligações com o grupo Fox Kitten, surgiu pela primeira vez em 2020.
A variante implantada no ataque é uma atualização de campanhas anteriores observadas em julho de 2025, usando técnicas aprimoradas de evasão, execução e antiforense para atingir seus objetivos. De acordo com a Beazley Security e a Halcyon, nenhum dado foi exfiltrado durante o ataque, uma mudança no manual de dupla extorsão do grupo.
Diz-se que o ataque aproveitou uma rota de acesso indeterminada para violar a organização, usando uma ferramenta legítima de acesso remoto como o TeamViewer para estabelecer uma posição e, em seguida, coletar credenciais para movimento lateral, desarmar o Microsoft Defender Antivirus sinalizando falsamente que um produto antivírus de terceiros está ativo, inibir a recuperação, implantar ransomware, emitir uma nota de resgate e limpar registros para encobrir os rastros.
"Ao limpar os registros no final da execução, e não no início, os atores garantem que até mesmo a própria atividade do ransomware seja apagada, e não apenas o que a precedeu", disse Halcyon.
Entre as principais mudanças que o grupo promulgou após seu retorno no ano passado estava a oferta aos afiliados de uma redução de 80% nas receitas do resgate, acima dos 70%, pela participação em ataques contra os inimigos do Irã. Um mês depois, uma variante Linux do ransomware Pay2Key foi detectada na natureza.
"A amostra é orientada por configuração, requer privilégios de nível raiz para ser executada e foi projetada para abranger amplo escopo do sistema de arquivos, classificar montagens e criptografar dados usando ChaCha20 em modos completos ou parciais", disse a pesquisadora da Morphisec, Ilia Kulmin, em um relatório publicado no mês passado.
"Antes da criptografia, ela enfraquece as defesas e elimina o atrito, interrompendo serviços, eliminando processos, desativando o SELinux e o AppArmor e instalando uma entrada cron no momento da reinicialização. Isso permite que o criptografador seja executado mais rapidamente e sobreviva às reinicializações."
Em março de 2026, Halcyon também revelou que o administrador do ransomware Sicarii, Uke, instou os operadores pró-iranianos a usarem o Baqiyat 313 Locker (também conhecido como BQTlock) devido ao fluxo de solicitações de afiliados. A BQTLock, que opera com motivos pró-Palestina, tem como alvo os Emirados Árabes Unidos, os EUA e Israel desde julho de 2025.
“O Irã tem um longo histórico de uso de operações cibernéticas para retaliar contra desrespeitos políticos percebidos”, disse a empresa de segurança cibernética. “O ransomware está cada vez mais incorporado nessas operações, com o campo de ransomware
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #de #pulverização #de #senhas #vinculada #ao #irã #tem #como #alvo #mais #de #300 #organizações #israelenses #do #microsoft #365
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário