Investigadores de seguridad de SecurityScorecard han descubierto una botnet de más de 130.000 dispositivos que está llevando a cabo ataques de rociado de contraseñas contra cuentas de Microsoft 365 (M365) en todo el mundo.
Se trata de un tipo de ataque de fuerza bruta en el que un actor malicioso intenta utilizar la misma contraseña en varias cuentas antes de pasar a probar con otra.
Los actores de amenazas apuntaron contra cuentas protegidas con autenticación básica que eludían la autenticación multifactor.
Este tipo de autenticación permite transmitir credenciales sin formato, facilitando a los atacantes su robo. Aunque la empresa de Redmond la ha eliminado gradualmente, continúa siendo un riesgo de seguridad activo.
La botnet se sirve de credenciales robadas para atacar cuentas M365, evadiendo la autenticación multifactor y las políticas de acceso condicional mientras minimiza la detección en registros de inicio de sesión no interactivo.
Los expertos descubrieron la actividad de la botnet mientras investigaban una serie de inicios de sesión fallidos en los registros de inicio de sesión no interactivos de un inquilino de Microsoft 365.
Creada a finales del año pasado
Esta red de bots lleva activa desde al menos diciembre de 2024 y sus servidores C2 están configurados en la zona horaria Asia/Shanghai.
"Estos ataques se registran en los registros de inicio de sesión no interactivo, que los equipos de seguridad suelen pasar por alto. Los atacantes aprovechan esta brecha para realizar intentos de rociado de contraseñas en gran volumen sin ser detectados. Esta táctica se ha observado en varios inquilinos de M365 en todo el mundo, lo que indica una amenaza generalizada y continua", puede leerse en un informe publicado por SecurityScorecard.
“Como hemos visto evidencia directa de este comportamiento en nuestros registros de inicio de sesión no interactivo, alentamos a cualquier persona que opere un inquilino de M365 a verificar de inmediato si se ve afectado y, de ser así, a rotar las credenciales que pertenecen a cualquier cuenta de la organización en los registros”, añade el documento.