Microsoft 365 sotto attacco brute-force: difendersi da FastHTTP

Cosa è importante sapere:

A gennaio 2024, gli attacchi brute-force su Microsoft 365 con FastHTTP mettono a rischio dati aziendali. Il 9,7% degli attacchi ha successo, compromettendo account e operatività. Verifica log con PowerShell, adotta MFA e monitora i tentativi di accesso per proteggere la tua azienda.

Tempo di lettura: 3 minuti

Gli attacchi informatici contro aziende stanno aumentando in frequenza e complessità. Microsoft 365, una delle piattaforme più utilizzate al mondo, è al centro di una campagna di attacchi brute-force ad alta velocità. Questa minaccia, scoperta da SpearTip, utilizza una tecnica innovativa con la libreria FastHTTP per compromettere gli account aziendali. Quali sono i dettagli e come proteggere i tuoi dati? Scopriamolo.

Come funziona l’attacco brute-force con FastHTTP?

FastHTTP è una libreria progettata per ottimizzare le richieste HTTP, sfruttata dai criminali per velocizzare i tentativi di accesso non autorizzato agli account Microsoft 365. Ma come avviene l’attacco?

  1. Dove attaccano?Gli hacker mirano agli endpoint dell’API di Azure Active Directory Graph. Questi punti di accesso permettono alle applicazioni di interagire con i dati di Microsoft 365.
  2. Chi sono i responsabili?Secondo le analisi, il traffico malevolo proviene principalmente dal Brasile, con contributi minori da Turchia, Argentina, e altri Paesi.
  3. Cosa rende efficace questo attacco?La velocità di elaborazione di FastHTTP consente di eseguire milioni di tentativi di accesso in pochi minuti. Oltre al brute-force, viene utilizzata anche la tecnica MFA fatigue, che bombarda gli utenti con richieste di autenticazione fino a indurli all’errore.
attacco brute-force su Microsoft 365 con FastHTTP

FastHTTP permette attacchi brute-force ad alta velocità contro Microsoft 365.

Quando è iniziata la campagna e quali sono i numeri?

Questa campagna è stata rilevata il 6 gennaio 2024 e ha già generato numeri significativi:

  • 41,5% degli attacchi fallisce.
  • 21% provoca il blocco dell’account, generando costi e tempi di inattività per le aziende.
  • 17,7% viene bloccato grazie a policy di accesso efficaci.
  • 10% è protetto da MFA.
  • 9,7% di successo: una percentuale che rappresenta un rischio elevato per aziende di tutte le dimensioni.

Perché questo attacco è pericoloso per le aziende?

Le conseguenze di un attacco riuscito possono essere devastanti. Quali sono i rischi principali?

  • Furto di dati sensibili: Gli account compromessi possono contenere documenti, contratti o progetti riservati.
  • Danni alla reputazione: Un attacco può far perdere fiducia a clienti e partner.
  • Interruzione delle operazioni: Account bloccati o compromessi rallentano o fermano le attività quotidiane.

Difendersi: quali sono le prime azioni da intraprendere?

La prevenzione è la chiave per proteggersi da attacchi come questo. Come possono le aziende rispondere?

  1. Identificare l’attacco con PowerShell:SpearTip ha condiviso uno script PowerShell per individuare lo user agent FastHTTP nei log di audit.
  2. Controllare manualmente i tentativi sospetti:Gli amministratori possono accedere al portale di Azure e verificare i log degli accessi utilizzando il filtro “Other Clients”.
  3. Adottare misure immediate:
    • Terminare le sessioni attive sospette.
    • Resettare le credenziali compromesse.
    • Rimuovere dispositivi non autorizzati registrati per l’MFA.

Cosa possiamo imparare da questa minaccia?

Questa campagna dimostra l’importanza di un approccio proattivo alla sicurezza. Quando è il momento di agire? Ora.

Le aziende devono monitorare costantemente i propri sistemi, aggiornare le misure di sicurezza e formare i dipendenti per riconoscere segnali di compromissione. Gli attacchi continuano ad evolversi e la tempestività nella risposta è fondamentale.

Quali tecnologie possono aiutare a prevenire questi attacchi?

La sicurezza informatica richiede strumenti avanzati e ben configurati. Ecco alcune tecnologie da considerare:

  • Autenticazione multi-fattore: Essenziale per proteggere gli account, ma va monitorata per evitare abusi come l’MFA fatigue.
  • Threat intelligence: Servizi che analizzano e segnalano nuove minacce in tempo reale.
  • Monitoraggio continuo: Soluzioni per analizzare i log di sistema e identificare attività sospette.

    Come proteggersi oggi?

    La lezione di questo attacco è chiara: le aziende non possono permettersi di sottovalutare la sicurezza. Cosa fare per proteggere i dati aziendali?

  • Aggiorna i sistemi di sicurezza: Implementa policy di accesso rigide e utilizza MFA.
  • Monitora i log: Identifica e analizza tentativi di accesso sospetti.
  • Forma il personale: Sensibilizza i dipendenti sui rischi e su come rispondere alle minacce.

Gli attacchi informatici non si fermeranno, ma con le giuste contromisure possiamo ridurre i rischi e proteggere ciò che conta di più: i dati aziendali e la continuità operativa.