Más de 80,000 cuentas de Microsoft Entra ID afectadas por ataques de pulverización de contraseñas.
Varios se vieron afectados, por lo que los usuarios deben estar alerta.
Expertos han alertado sobre el uso indebido de una herramienta legítima para realizar ataques contra cuentas de Entra ID. Esta campaña de ataques de "password spraying" ha afectado a aproximadamente 80,000 cuentas, y algunos atacantes lograron tomar el control de varias de ellas, obteniendo acceso a datos en Microsoft Teams, OneDrive y Outlook.
Investigadores en ciberseguridad de Proofpoint han analizado a fondo este fenómeno, identificando que varios actores de amenazas han llevado a cabo un ataque a gran escala, al que han denominado UNK_SneakyStrike. En este ataque, se utilizó una herramienta de prueba de penetración legítima llamada TeamFiltration, desarrollada por un investigador de seguridad y lanzada públicamente en DefCon30 en 2021. Esta herramienta facilita la automatización de diversas tácticas y procedimientos utilizados en cadenas de ataques modernos de apropiación de cuentas.
La campaña parece haber comenzado en diciembre de 2024. Mediante el abuso de la API de Microsoft Teams y servidores de Amazon Web Services (AWS) globalmente distribuidos, los atacantes realizaron ataques de enumeración y "password spraying" dirigidos a aproximadamente 80,000 cuentas de usuario en cerca de 100 inquilinos en la nube.
Los principales lugares de origen de estos ataques incluyen Estados Unidos (42%), Irlanda (11%) y Gran Bretaña (8%). En varios casos documentados, los atacantes lograron acceder a cuentas, obteniendo información valiosa a través de herramientas de productividad como Microsoft Teams, OneDrive y Outlook.
No se ha podido atribuir el ataque a ningún grupo organizado, pero los investigadores destacan el riesgo que representan las herramientas legítimas cuando se usan con fines maliciosos, advirtiendo que estas pueden ser "fácilmente armaizadas" para comprometer cuentas de usuario, exfiltrar datos sensibles y establecer accesos persistentes.
Proofpoint anticipa que los actores de amenazas adoptarán cada vez más herramientas de intrusión avanzadas y plataformas como TeamFiltration a medida que se alejen de métodos de intrusión menos efectivos.
