A Microsoft confirmou que as recentes interrupções em seus portais web do Azure, Outlook e OneDrive foram resultado de ataques DDoS de camada 7 contra os serviços da empresa.
Os ataques estão sendo atribuídos a um ator de ameaça rastreado pela Microsoft como Storm-1359, que se autodenomina Anonymous Sudan.
As interrupções ocorreram no início de junho, com o portal web do Outlook sendo alvo em 7 de junho, o OneDrive em 8 de junho e o portal do Microsoft Azure em 9 de junho.
A Microsoft não compartilhou na época que estava sofrendo ataques DDoS, mas insinuou que eram a causa, afirmando para alguns incidentes que estavam "aplicando processos de balanceamento de carga para mitigar o problema".
Em um relatório preliminar de causa raiz divulgado na semana passada, a Microsoft insinuou ainda mais os ataques DDoS, afirmando que um pico no tráfego de rede causou a interrupção do Azure.
"Identificamos um pico no tráfego de rede que impactou a capacidade de gerenciar o tráfego para esses sites e resultou em problemas para os clientes acessarem esses sites", explicou a Microsoft.
Em um post do Microsoft Security Response Center divulgado na sexta-feira, a Microsoft agora confirma que essas interrupções foram causadas por um ataque DDoS de camada 7 contra seus serviços por um ator de ameaça que eles rastreiam como Storm-1359.
"A partir do início de junho de 2023, a Microsoft identificou surtos de tráfego contra alguns serviços que temporariamente afetaram a disponibilidade.
A Microsoft abriu prontamente uma investigação e subsequentemente começou a rastrear a atividade contínua de DDoS pelo ator de ameaça que a Microsoft rastreia como Storm-1359", confirmou a Microsoft.
"Esses ataques provavelmente dependem do acesso a vários servidores privados virtuais (VPS) em conjunto com infraestrutura de nuvem alugada, proxies abertos e ferramentas de DDoS".
"Não vimos evidências de que os dados do cliente tenham sido acessados ou comprometidos".
Um ataque DDoS de camada 7 é quando os atores de ameaça direcionam o nível de aplicativo sobrecarregando os serviços com um volume maciço de solicitações, fazendo com que os serviços parem, pois não podem processá-las todas.
A Microsoft diz que o Anonymous Sudan usa três tipos de ataques DDoS de camada 7: ataques de inundação HTTP (S), bypass de cache e Slowloris.
Cada método DDoS sobrecarrega um serviço da web, usando todas as conexões disponíveis para que eles não possam mais aceitar novas solicitações.
Embora a Microsoft rastreie os atores de ameaça como Storm-1359, eles são mais comumente conhecidos como Anonymous Sudan.
O Anonymous Sudan foi lançado em janeiro de 2023, alertando que conduziria ataques contra qualquer país que se opusesse ao Sudão.
Desde então, o grupo tem como alvo organizações e agências governamentais em todo o mundo, derrubando-as em ataques DDoS ou vazando dados roubados.
A partir de maio, o grupo tem como alvo grandes organizações, exigindo pagamentos para interromper os ataques.
Os ataques foram direcionados inicialmente à Scandinavian Airlines (SAS), com os atores de ameaça exigindo US$ 3.500 para interromper os ataques DDoS.
O grupo posteriormente direcionou os sites de empresas americanas, como Tinder, Lyft e vários hospitais nos EUA.
Em junho, o Anonymous Sudan voltou sua atenção para a Microsoft, onde começaram ataques DDoS em portais web acessíveis do Outlook, Azure e OneDrive, exigindo US$ 1 milhão para interromper os ataques.
"Você falhou em repelir o ataque que continuou por horas, então que tal você nos pagar 1.000.000 USD e nós ensinamos seus especialistas em cibersegurança a repelir o ataque e paramos o ataque do nosso lado? 1 milhão de dólares é troco para uma empresa como você", exigiu o grupo.
Durante os ataques DDoS no Outlook, o grupo disse que eles estavam sendo conduzidos em protesto contra o envolvimento dos EUA na política sudanesa.
"Esta é uma campanha contínua contra empresas e infraestrutura dos EUA / americanas por causa da declaração do Secretário de Estado dos EUA dizendo que há uma possibilidade de invasão americana do Sudão", afirmou o Anonymous Sudan.
No entanto, alguns pesquisadores de segurança cibernética acreditam que isso é uma bandeira falsa e que o grupo pode estar ligado à Rússia.
Essa conexão pode ter se tornado mais evidente esta semana, com o grupo afirmando formar um "parlamento DARKNET" consistindo de outros grupos pró-Rússia, como KILLNET e "REvil".
"Há 72 horas, três líderes de grupos de hackers da Rússia e do Sudão realizaram uma reunião regular no parlamento DARKNET, e chegaram a uma decisão comum", alertou o grupo sobre ataques iminentes à infraestrutura bancária europeia.
"Hoje estamos começando a impor sanções aos sistemas de transferência bancária europeus SEPA, IBAN, WIRE, SWIFT, WISE".
Embora não haja indicação de que os ataques aos sistemas bancários europeus tenham começado, o grupo demonstrou que tem recursos significativos à disposição e as instituições financeiras devem estar alertas para possíveis interrupções.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...