Cosa è importante sapere:A gennaio 2024, gli attacchi brute-force su Microsoft 365 con FastHTTP mettono a rischio dati aziendali. Il 9,7% degli attacchi ha successo, compromettendo account e operatività. Verifica log con PowerShell, adotta MFA e monitora i tentativi di accesso per proteggere la tua azienda.
Gli attacchi informatici contro aziende stanno aumentando in frequenza e complessità. Microsoft 365, una delle piattaforme più utilizzate al mondo, è al centro di una campagna di attacchi brute-force ad alta velocità. Questa minaccia, scoperta da SpearTip, utilizza una tecnica innovativa con la libreria FastHTTP per compromettere gli account aziendali. Quali sono i dettagli e come proteggere i tuoi dati? Scopriamolo.
Come funziona l’attacco brute-force con FastHTTP?
FastHTTP è una libreria progettata per ottimizzare le richieste HTTP, sfruttata dai criminali per velocizzare i tentativi di accesso non autorizzato agli account Microsoft 365. Ma come avviene l’attacco?
- Dove attaccano?Gli hacker mirano agli endpoint dell’API di Azure Active Directory Graph. Questi punti di accesso permettono alle applicazioni di interagire con i dati di Microsoft 365.
- Chi sono i responsabili?Secondo le analisi, il traffico malevolo proviene principalmente dal Brasile, con contributi minori da Turchia, Argentina, e altri Paesi.
- Cosa rende efficace questo attacco?La velocità di elaborazione di FastHTTP consente di eseguire milioni di tentativi di accesso in pochi minuti. Oltre al brute-force, viene utilizzata anche la tecnica MFA fatigue, che bombarda gli utenti con richieste di autenticazione fino a indurli all’errore.

FastHTTP permette attacchi brute-force ad alta velocità contro Microsoft 365.
Quando è iniziata la campagna e quali sono i numeri?
Questa campagna è stata rilevata il 6 gennaio 2024 e ha già generato numeri significativi:
- 41,5% degli attacchi fallisce.
- 21% provoca il blocco dell’account, generando costi e tempi di inattività per le aziende.
- 17,7% viene bloccato grazie a policy di accesso efficaci.
- 10% è protetto da MFA.
- 9,7% di successo: una percentuale che rappresenta un rischio elevato per aziende di tutte le dimensioni.
Perché questo attacco è pericoloso per le aziende?
Le conseguenze di un attacco riuscito possono essere devastanti. Quali sono i rischi principali?
- Furto di dati sensibili: Gli account compromessi possono contenere documenti, contratti o progetti riservati.
- Danni alla reputazione: Un attacco può far perdere fiducia a clienti e partner.
- Interruzione delle operazioni: Account bloccati o compromessi rallentano o fermano le attività quotidiane.
Difendersi: quali sono le prime azioni da intraprendere?
La prevenzione è la chiave per proteggersi da attacchi come questo. Come possono le aziende rispondere?
- Identificare l’attacco con PowerShell:SpearTip ha condiviso uno script PowerShell per individuare lo user agent FastHTTP nei log di audit.
- Controllare manualmente i tentativi sospetti:Gli amministratori possono accedere al portale di Azure e verificare i log degli accessi utilizzando il filtro “Other Clients”.
- Adottare misure immediate:
- Terminare le sessioni attive sospette.
- Resettare le credenziali compromesse.
- Rimuovere dispositivi non autorizzati registrati per l’MFA.
Cosa possiamo imparare da questa minaccia?
Questa campagna dimostra l’importanza di un approccio proattivo alla sicurezza. Quando è il momento di agire? Ora.
Le aziende devono monitorare costantemente i propri sistemi, aggiornare le misure di sicurezza e formare i dipendenti per riconoscere segnali di compromissione. Gli attacchi continuano ad evolversi e la tempestività nella risposta è fondamentale.
Quali tecnologie possono aiutare a prevenire questi attacchi?
La sicurezza informatica richiede strumenti avanzati e ben configurati. Ecco alcune tecnologie da considerare:
- Autenticazione multi-fattore: Essenziale per proteggere gli account, ma va monitorata per evitare abusi come l’MFA fatigue.
- Threat intelligence: Servizi che analizzano e segnalano nuove minacce in tempo reale.
- Monitoraggio continuo: Soluzioni per analizzare i log di sistema e identificare attività sospette.
Come proteggersi oggi?
La lezione di questo attacco è chiara: le aziende non possono permettersi di sottovalutare la sicurezza. Cosa fare per proteggere i dati aziendali?
- Aggiorna i sistemi di sicurezza: Implementa policy di accesso rigide e utilizza MFA.
- Monitora i log: Identifica e analizza tentativi di accesso sospetti.
- Forma il personale: Sensibilizza i dipendenti sui rischi e su come rispondere alle minacce.
Gli attacchi informatici non si fermeranno, ma con le giuste contromisure possiamo ridurre i rischi e proteggere ciò che conta di più: i dati aziendali e la continuità operativa.