Um agente de ameaça com ligação com o Irã é suspeito de estar por trás de uma campanha de password-spraying contra ambientes Microsoft 365 em Israel e nos Emirados Árabes Unidos, em meio ao conflito em andamento no Oriente Médio.
A atividade, ainda em curso, foi executada em três ondas distintas de ataque, ocorridas em 3, 13 e 23 de março de 2026, segundo a Check Point.
“A campanha está focada principalmente em Israel e nos Emirados Árabes Unidos, afetando mais de 300 organizações em Israel e mais de 25 nos Emirados Árabes Unidos”, informou a empresa israelense de cibersegurança.
“Também foram observadas atividades associadas ao mesmo agente contra um número limitado de alvos na Europa, nos Estados Unidos, no Reino Unido e na Arábia Saudita.”
A campanha teria como alvo ambientes em nuvem de órgãos governamentais, prefeituras, empresas de tecnologia, organizações de transporte, companhias do setor de energia e empresas privadas da região.
Password spraying é uma forma de ataque de brute force em que o invasor tenta usar uma senha comum contra vários nomes de usuário no mesmo aplicativo.
A técnica também é vista como uma forma mais eficiente de identificar credenciais fracas em larga escala sem acionar defesas de rate limiting.
A Check Point afirmou que o método já foi adotado no passado por grupos iranianos como Peach Sandstorm e Gray Sandstorm, anteriormente identificado como DEV-0343, para infiltrar redes-alvo.
A campanha parece seguir três fases.
Primeiro, há varredura agressiva ou password spraying a partir de nós de saída do Tor.
Em seguida, ocorre o processo de login.
Depois, há a exfiltração de dados sensíveis, como o conteúdo de caixas de e-mail.
“A análise dos logs do M365 sugere semelhanças com o Gray Sandstorm, incluindo o uso de ferramentas de red team para conduzir esses ataques por meio de nós de saída do Tor”, disse a Check Point.
“O agente de ameaça usou nós de VPN comerciais hospedados na AS35758, da Rachamim Aviel Twito, o que está alinhado com atividades recentes ligadas a operações com conexão iraniana no Oriente Médio.”
Para conter essa ameaça, organizações são orientadas a monitorar logs de login em busca de sinais de password spraying, aplicar controles de conditional access para limitar autenticações a localizações geográficas aprovadas, exigir multi-factor authentication, ou MFA, para todos os usuários e habilitar audit logs para investigações pós-comprometimento.
A divulgação ocorre no momento em que uma organização de saúde dos Estados Unidos foi alvo, no fim de fevereiro de 2026, do Pay2Key, um grupo iraniano de ransomware com ligações ao governo do país.
A operação ransomware-as-a-service, ou RaaS, tem conexões com o grupo Fox Kitten e surgiu em 2020.
A variante usada no ataque é uma evolução de campanhas anteriores observadas em julho de 2025, com melhorias em evasão, execução e técnicas anti-forensics para alcançar seus objetivos.
Segundo a Beazley Security e a Halcyon, nenhum dado foi exfiltrado durante o ataque, uma mudança em relação ao padrão de double extortion do grupo.
O ataque teria explorado um caminho de acesso ainda não identificado para invadir a organização, usando uma ferramenta legítima de acesso remoto, como o TeamViewer, para estabelecer presença inicial.
Em seguida, os invasores coletaram credenciais para movimentação lateral, desativaram o Microsoft Defender Antivirus ao simular falsamente que um antivírus de terceiros estava ativo, impediram a recuperação, implantaram o ransomware, deixaram uma ransom note e apagaram logs para encobrir os rastros.
“Ao limpar os logs no final da execução, e não no início, os autores garantem que até mesmo a atividade do próprio ransomware seja apagada, e não apenas o que veio antes dele”, disse a Halcyon.
Entre as principais mudanças adotadas pelo grupo após seu retorno no ano passado está a oferta de 80% dos lucros do resgate para afiliados, acima dos 70% anteriores, para participação em ataques contra inimigos do Irã.
Um mês depois, uma variante Linux do ransomware Pay2Key foi detectada em circulação.
“O sample é orientado por configuração, exige privilégios de nível root para execução e foi projetado para percorrer amplamente o file system, classificar mounts e criptografar dados usando ChaCha20 em modos total ou parcial”, afirmou o pesquisador da Morphisec Ilia Kulmin em relatório publicado no mês passado.
“Antes da criptografia, ele enfraquece as defesas e reduz obstáculos ao interromper services, encerrar processos, desabilitar SELinux e AppArmor e instalar uma entrada cron para reinicialização.
Isso permite que o encryptor opere mais rápido e sobreviva a reinicializações.”
Em março de 2026, a Halcyon também revelou que o administrador do ransomware Sicarii, conhecido como Uke, incentivou operadores pró-Irã a usar o Baqiyat 313 Locker, também chamado de BQTlock, devido ao aumento de pedidos de afiliados.
O BQTlock, que opera com motivações pró-Palestina, tem como alvo os Emirados Árabes Unidos, os Estados Unidos e Israel desde julho de 2025.
“O Irã tem um longo histórico de usar operações cibernéticas para retaliar afrontas políticas percebidas”, disse a empresa de cibersegurança.
“O ransomware está sendo cada vez mais incorporado a essas operações, em campanhas que borram a linha entre extorsão criminosa e sabotagem patrocinada pelo Estado.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...