Os clientes do Azure enfrentam a maior ameaça às suas contas privilegiadas. Uma empresa de segurança cibernética identificou a disseminação de uma nova campanha de phishing destinada a usuários privilegiados, como diretores de vendas, gerentes de contas, gerentes financeiros, vice-presidentes, presidentes, diretores financeiros e CEOs. O primeiro conjunto de ataques da campanha começou por volta de novembro de 2023 e ainda é uma ameaça iminente. O bom é que você pode se proteger e mitigar esse ataque.
O plano de ataque explicado
O ataque é iniciado enviando e-mails de phishing para obter as credenciais da conta do Microsoft 365 dos usuários privilegiados de uma organização. Quando uma vítima clica no link do e-mail de phishing e é enviada ao site do invasor, um arquivo de carga útil é baixado em sua máquina para direcionar seus aplicativos do Microsoft 365.
Depois que a conta do Microsoft 365 é violada, os invasores obtêm acesso a todos os dados e configurações do usuário. Para estender o seu domínio sobre o acesso que exploraram, os atacantes criam os seguintes impedimentos:
-
MFA: os invasores substituem a autenticação de fator único do usuário afetado por seus próprios métodos de MFA, como um endereço de email alternativo, um número de telefone ou o Microsoft Authenticator. Isso lhes dá tempo suficiente para causar estragos até que o MFA do usuário seja redefinido, pois o usuário não terá acesso aos fatores de autenticação.
-
Proxies alternados: os invasores utilizam proxies para ocultar seus locais de login e endereços IP, permitindo-lhes disfarçar seu verdadeiro paradeiro e imitar os comportamentos de login do usuário original.
-
Phishing interno: Os hackers tentam ampliar seu acesso enviando e-mails de phishing personalizados da conta interna comprometida e aproveitando outras contas para se moverem lateralmente dentro da organização. Como o e-mail parece ser de um usuário interno legítimo, é menos provável que outros usuários o reconheçam como possível spam.
-
Modificações nas regras de caixa de correio: os invasores modificam as regras de caixa de correio existentes ou criam novas para excluir, redigir ou ofuscar quaisquer vestígios de atividade maliciosa das caixas de correio afetadas para encobrir seus rastros.
Como você pode se proteger contra um ataque de phishing?
As medidas a seguir podem ajudá-lo a prevenir ou proteger-se contra ataques de phishing.
-
Implementar MFA: Identifique os pontos de interesse dos invasores e corrija-os. Isso pode incluir contas protegidas apenas com autenticação de fator único, políticas que não conseguem identificar tentativas de força bruta a tempo e contas privilegiadas com acesso a dados de que provavelmente não precisam. Certifique-se de que suas contas privilegiadas estejam protegidas usando métodos rígidos de MFA para garantir que apenas usuários autorizados possam acessá-las.
-
Centralize o gerenciamento: fique de olho em todas as suas contas privilegiadas usando uma única unidade administrativa e implementando políticas rigorosas de acesso condicional.
-
Planejamento contra violações: tenha um plano de ação sobre o que fazer se suas contas forem comprometidas. Depois que as contas afetadas forem identificadas, bloqueie-as de todos os serviços imediatamente, desconecte-as à força para evitar qualquer efeito no ambiente do Microsoft 365 e redefina suas credenciais e fatores de acesso.
Como o ManageEngine pode ajudar contra ataques de phishing
ManageEngine M365 Manager Plus é uma solução de administração do Microsoft 365 que ajuda a proteger contas privilegiadas. Ele permite que você obtenha melhor visibilidade do seu ambiente, execute todas as tarefas necessárias em massa facilmente, sem recorrer a scripts do PowerShell, crie perfis personalizados de auditoria e alerta para informá-lo sobre atividades específicas a serem rastreadas e crie automações para realizar ações sequencialmente sem qualquer intervenção humana.
Veja como você pode usar o M365 Manager Plus a seu favor para se proteger contra violações:
Separe usuários privilegiados com autenticação de fator único em um único local virtual
No M365 Manager Plus, você pode criar locatários virtuais para hospedar objetos de usuário que satisfaçam determinadas condições sob um único ponto de controle, como uma unidade administrativa. Consolide todas as suas contas privilegiadas em um único local para facilitar a geração de relatórios, execução de tarefas e auditoria frequente, sem a necessidade de processar outras contas.
Crie perfis para rastrear alterações nas configurações de MFA
Como a maneira mais eficaz de os invasores cobrirem seus rastros é habilitar a MFA, a melhor maneira de identificar e agir de acordo com a presença dos invasores é rastrear essa atividade assim que ela ocorrer. O M365 Manager Plus pode ser configurado para rastrear se a MFA está habilitada ou desabilitada para usuários em seu ambiente ou em um locatário virtual específico. Assim que ocorre uma alteração, os administradores são notificados por e-mail com todos os detalhes necessários para tomar medidas corretivas adicionais nos objetos.
Configure políticas de automação para acelerar ações corretivas
Tradicionalmente, depois de obter uma lista de usuários afetados, você precisa revogar o acesso dos usuários, bloqueá-los e redefinir os métodos e senhas de MFA. Porém, ao configurar políticas de automação no M365 Manager Plus, você só precisará revogar o acesso dos usuários ao Azure, e as demais ações serão realizadas automaticamente.
Você pode baixar a avaliação gratuita de 30 dias do M365 Manager Plus para ver esses recursos em ação e explorar os outros recursos que esta ferramenta tem a oferecer. Você também pode entrar em contato conosco para obter uma demonstração gratuita e personalizada sobre como configurá-los para proteger seu ambiente.