Microsoft confirma que as interrupções do Azure e do Outlook foram causadas por ataques DDoS
19 de Junho de 2023

A Microsoft confirmou que as recentes interrupções em seus portais web do Azure, Outlook e OneDrive foram resultado de ataques DDoS de camada 7 contra os serviços da empresa.

Os ataques estão sendo atribuídos a um ator de ameaça rastreado pela Microsoft como Storm-1359, que se autodenomina Anonymous Sudan.

As interrupções ocorreram no início de junho, com o portal web do Outlook sendo alvo em 7 de junho, o OneDrive em 8 de junho e o portal do Microsoft Azure em 9 de junho.

A Microsoft não compartilhou na época que estava sofrendo ataques DDoS, mas insinuou que eram a causa, afirmando para alguns incidentes que estavam "aplicando processos de balanceamento de carga para mitigar o problema".

Em um relatório preliminar de causa raiz divulgado na semana passada, a Microsoft insinuou ainda mais os ataques DDoS, afirmando que um pico no tráfego de rede causou a interrupção do Azure.

"Identificamos um pico no tráfego de rede que impactou a capacidade de gerenciar o tráfego para esses sites e resultou em problemas para os clientes acessarem esses sites", explicou a Microsoft.

Em um post do Microsoft Security Response Center divulgado na sexta-feira, a Microsoft agora confirma que essas interrupções foram causadas por um ataque DDoS de camada 7 contra seus serviços por um ator de ameaça que eles rastreiam como Storm-1359.

"A partir do início de junho de 2023, a Microsoft identificou surtos de tráfego contra alguns serviços que temporariamente afetaram a disponibilidade.

A Microsoft abriu prontamente uma investigação e subsequentemente começou a rastrear a atividade contínua de DDoS pelo ator de ameaça que a Microsoft rastreia como Storm-1359", confirmou a Microsoft.

"Esses ataques provavelmente dependem do acesso a vários servidores privados virtuais (VPS) em conjunto com infraestrutura de nuvem alugada, proxies abertos e ferramentas de DDoS".

"Não vimos evidências de que os dados do cliente tenham sido acessados ou comprometidos".

Um ataque DDoS de camada 7 é quando os atores de ameaça direcionam o nível de aplicativo sobrecarregando os serviços com um volume maciço de solicitações, fazendo com que os serviços parem, pois não podem processá-las todas.

A Microsoft diz que o Anonymous Sudan usa três tipos de ataques DDoS de camada 7: ataques de inundação HTTP (S), bypass de cache e Slowloris.

Cada método DDoS sobrecarrega um serviço da web, usando todas as conexões disponíveis para que eles não possam mais aceitar novas solicitações.

Embora a Microsoft rastreie os atores de ameaça como Storm-1359, eles são mais comumente conhecidos como Anonymous Sudan.

O Anonymous Sudan foi lançado em janeiro de 2023, alertando que conduziria ataques contra qualquer país que se opusesse ao Sudão.

Desde então, o grupo tem como alvo organizações e agências governamentais em todo o mundo, derrubando-as em ataques DDoS ou vazando dados roubados.

A partir de maio, o grupo tem como alvo grandes organizações, exigindo pagamentos para interromper os ataques.

Os ataques foram direcionados inicialmente à Scandinavian Airlines (SAS), com os atores de ameaça exigindo US$ 3.500 para interromper os ataques DDoS.

O grupo posteriormente direcionou os sites de empresas americanas, como Tinder, Lyft e vários hospitais nos EUA.

Em junho, o Anonymous Sudan voltou sua atenção para a Microsoft, onde começaram ataques DDoS em portais web acessíveis do Outlook, Azure e OneDrive, exigindo US$ 1 milhão para interromper os ataques.

"Você falhou em repelir o ataque que continuou por horas, então que tal você nos pagar 1.000.000 USD e nós ensinamos seus especialistas em cibersegurança a repelir o ataque e paramos o ataque do nosso lado? 1 milhão de dólares é troco para uma empresa como você", exigiu o grupo.

Durante os ataques DDoS no Outlook, o grupo disse que eles estavam sendo conduzidos em protesto contra o envolvimento dos EUA na política sudanesa.

"Esta é uma campanha contínua contra empresas e infraestrutura dos EUA / americanas por causa da declaração do Secretário de Estado dos EUA dizendo que há uma possibilidade de invasão americana do Sudão", afirmou o Anonymous Sudan.

No entanto, alguns pesquisadores de segurança cibernética acreditam que isso é uma bandeira falsa e que o grupo pode estar ligado à Rússia.

Essa conexão pode ter se tornado mais evidente esta semana, com o grupo afirmando formar um "parlamento DARKNET" consistindo de outros grupos pró-Rússia, como KILLNET e "REvil".

"Há 72 horas, três líderes de grupos de hackers da Rússia e do Sudão realizaram uma reunião regular no parlamento DARKNET, e chegaram a uma decisão comum", alertou o grupo sobre ataques iminentes à infraestrutura bancária europeia.

"Hoje estamos começando a impor sanções aos sistemas de transferência bancária europeus SEPA, IBAN, WIRE, SWIFT, WISE".

Embora não haja indicação de que os ataques aos sistemas bancários europeus tenham começado, o grupo demonstrou que tem recursos significativos à disposição e as instituições financeiras devem estar alertas para possíveis interrupções.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...