Microsoft confirma que as interrupções do Azure e do Outlook foram causadas por ataques DDoS
19 de Junho de 2023

A Microsoft confirmou que as recentes interrupções em seus portais web do Azure, Outlook e OneDrive foram resultado de ataques DDoS de camada 7 contra os serviços da empresa.

Os ataques estão sendo atribuídos a um ator de ameaça rastreado pela Microsoft como Storm-1359, que se autodenomina Anonymous Sudan.

As interrupções ocorreram no início de junho, com o portal web do Outlook sendo alvo em 7 de junho, o OneDrive em 8 de junho e o portal do Microsoft Azure em 9 de junho.

A Microsoft não compartilhou na época que estava sofrendo ataques DDoS, mas insinuou que eram a causa, afirmando para alguns incidentes que estavam "aplicando processos de balanceamento de carga para mitigar o problema".

Em um relatório preliminar de causa raiz divulgado na semana passada, a Microsoft insinuou ainda mais os ataques DDoS, afirmando que um pico no tráfego de rede causou a interrupção do Azure.

"Identificamos um pico no tráfego de rede que impactou a capacidade de gerenciar o tráfego para esses sites e resultou em problemas para os clientes acessarem esses sites", explicou a Microsoft.

Em um post do Microsoft Security Response Center divulgado na sexta-feira, a Microsoft agora confirma que essas interrupções foram causadas por um ataque DDoS de camada 7 contra seus serviços por um ator de ameaça que eles rastreiam como Storm-1359.

"A partir do início de junho de 2023, a Microsoft identificou surtos de tráfego contra alguns serviços que temporariamente afetaram a disponibilidade.

A Microsoft abriu prontamente uma investigação e subsequentemente começou a rastrear a atividade contínua de DDoS pelo ator de ameaça que a Microsoft rastreia como Storm-1359", confirmou a Microsoft.

"Esses ataques provavelmente dependem do acesso a vários servidores privados virtuais (VPS) em conjunto com infraestrutura de nuvem alugada, proxies abertos e ferramentas de DDoS".

"Não vimos evidências de que os dados do cliente tenham sido acessados ou comprometidos".

Um ataque DDoS de camada 7 é quando os atores de ameaça direcionam o nível de aplicativo sobrecarregando os serviços com um volume maciço de solicitações, fazendo com que os serviços parem, pois não podem processá-las todas.

A Microsoft diz que o Anonymous Sudan usa três tipos de ataques DDoS de camada 7: ataques de inundação HTTP (S), bypass de cache e Slowloris.

Cada método DDoS sobrecarrega um serviço da web, usando todas as conexões disponíveis para que eles não possam mais aceitar novas solicitações.

Embora a Microsoft rastreie os atores de ameaça como Storm-1359, eles são mais comumente conhecidos como Anonymous Sudan.

O Anonymous Sudan foi lançado em janeiro de 2023, alertando que conduziria ataques contra qualquer país que se opusesse ao Sudão.

Desde então, o grupo tem como alvo organizações e agências governamentais em todo o mundo, derrubando-as em ataques DDoS ou vazando dados roubados.

A partir de maio, o grupo tem como alvo grandes organizações, exigindo pagamentos para interromper os ataques.

Os ataques foram direcionados inicialmente à Scandinavian Airlines (SAS), com os atores de ameaça exigindo US$ 3.500 para interromper os ataques DDoS.

O grupo posteriormente direcionou os sites de empresas americanas, como Tinder, Lyft e vários hospitais nos EUA.

Em junho, o Anonymous Sudan voltou sua atenção para a Microsoft, onde começaram ataques DDoS em portais web acessíveis do Outlook, Azure e OneDrive, exigindo US$ 1 milhão para interromper os ataques.

"Você falhou em repelir o ataque que continuou por horas, então que tal você nos pagar 1.000.000 USD e nós ensinamos seus especialistas em cibersegurança a repelir o ataque e paramos o ataque do nosso lado? 1 milhão de dólares é troco para uma empresa como você", exigiu o grupo.

Durante os ataques DDoS no Outlook, o grupo disse que eles estavam sendo conduzidos em protesto contra o envolvimento dos EUA na política sudanesa.

"Esta é uma campanha contínua contra empresas e infraestrutura dos EUA / americanas por causa da declaração do Secretário de Estado dos EUA dizendo que há uma possibilidade de invasão americana do Sudão", afirmou o Anonymous Sudan.

No entanto, alguns pesquisadores de segurança cibernética acreditam que isso é uma bandeira falsa e que o grupo pode estar ligado à Rússia.

Essa conexão pode ter se tornado mais evidente esta semana, com o grupo afirmando formar um "parlamento DARKNET" consistindo de outros grupos pró-Rússia, como KILLNET e "REvil".

"Há 72 horas, três líderes de grupos de hackers da Rússia e do Sudão realizaram uma reunião regular no parlamento DARKNET, e chegaram a uma decisão comum", alertou o grupo sobre ataques iminentes à infraestrutura bancária europeia.

"Hoje estamos começando a impor sanções aos sistemas de transferência bancária europeus SEPA, IBAN, WIRE, SWIFT, WISE".

Embora não haja indicação de que os ataques aos sistemas bancários europeus tenham começado, o grupo demonstrou que tem recursos significativos à disposição e as instituições financeiras devem estar alertas para possíveis interrupções.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...