A Microsoft anunciou que seu pacote de segurança de e-mail baseado na nuvem, Defender for Office 365, agora detectará e bloqueará automaticamente ataques de email bombing.
O Defender for Office 365 (anteriormente conhecido como Office 365 Advanced Threat Protection ou Office 365 ATP) protege organizações que operam em setores de alto risco e lidam com atores de ameaças sofisticados contra ameaças maliciosas provenientes de mensagens de e-mail, links e ferramentas de colaboração.
"Estamos introduzindo uma nova capacidade de detecção no Microsoft Defender for Office 365 para ajudar a proteger sua organização contra uma ameaça crescente, conhecida como e-mail bombing," explica Redmond em uma atualização do centro de mensagens Microsoft 365.
Esta forma de abuso inunda as caixas de correio com volumes altos de e-mail para obscurecer mensagens importantes ou sobrecarregar sistemas.
A nova detecção de 'Mail Bombing' identificará e bloqueará automaticamente esses ataques, ajudando equipes de segurança a manter visibilidade sobre ameaças reais.
O novo recurso de 'Mail Bombing' começou a ser implementado no final de junho de 2025 e espera-se que alcance todas as organizações até o final de julho.
Será ativado por padrão, não requer configuração manual e automaticamente enviará todas as mensagens identificadas como parte de uma campanha de mail bombing para a pasta de Lixo.
Como a empresa explicou durante o fim de semana, o Mail Bombing agora está disponível para analistas de operações de segurança e administradores como um novo tipo de detecção no Threat Explorer, na página da entidade Email, no painel de resumo do Email e no Advanced Hunting.
Em ataques de mail bombing, atores de ameaças inundam as caixas de entrada de e-mail de seus alvos com milhares ou dezenas de milhares de mensagens em minutos, seja inscrevendo-os em um grande número de newsletters ou utilizando serviços de cibercrime dedicados que podem enviar um número massivo de e-mails.
Na maioria dos casos, o objetivo final dos atacantes é sobrecarregar os sistemas de segurança de e-mail como parte de esquemas de engenharia social, abrindo caminho para ataques de malware ou ransomware que podem ajudar na exfiltração de dados sensíveis dos sistemas comprometidos das vítimas.
O e-mail bombing tem sido empregado em ataques por diversos grupos de cibercrime e ransomware há mais de um ano.
Começou com o grupo BlackBasta, que usou essa tática para encher as caixas de correio de suas vítimas com e-mails em minutos antes de lançarem seus ataques.
Eles seguiam com cold calls de phishing por voz, se passando por suas equipes de suporte de TI para enganar funcionários sobrecarregados, concedendo acesso remoto aos seus dispositivos usando AnyDesk ou a ferramenta Windows Quick Assist.
Após infiltrarem em seus sistemas, os atacantes implantavam várias ferramentas maliciosas e implantes de malware, permitindo-lhes mover-se lateralmente através das redes corporativas antes de implantar payloads de ransomware.
Mais recentemente, o e-mail bombing foi adotado por um afiliado do ransomware 3AM e criminosos cibernéticos ligados ao grupo FIN7, que também forjaram suporte de TI em ataques de engenharia social visando persuadir funcionários a entregar suas credenciais para acesso remoto aos sistemas corporativos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...