No meio da intensificação do conflito no Médio Oriente, uma campanha de ataques cibernéticos dirigida contra ambientes da Microsoft 365 colocou em prática organizações na região. De acordo com a análise publicada pela empresa de segurança Check Point, um ator com ligações ao Irão teria executado três vagas de tentativas de acesso por força bruta seletiva nos dias 3, 13 e 23 de março de 2026, concentrando sua atividade sobretudo em Israel e nos Emirados Árabes Unidos e afetando centenas de entidades locais.
A técnica empregada —conhecida como password spraying — consiste em testar uma mesma senha comum contra muitos usuários distintos em uma aplicação determinada, uma tática que reduz a probabilidade de ativar mecanismos de bloqueio por tentativas fracas e permite descobrir credenciais fracas em escala. Check Point relaciona esta abordagem com padrões que no passado foram atribuídos a grupos iranianos como Peach Sandstorm e Gray Sandstorm (também identificado em outras nomenclaturas pela indústria), e assinala que o ataque se desenvolveu em fases: barridos agressivos desde nodos de saída de Tor, tentativas de autenticação e, nos casos em que conseguiram acesso, extração de informação sensível como o conteúdo de caixas de correio.
A reportagem técnica da empresa israelense também descreve o uso de ferramentas de tipo "red-team" e a utilização de infraestrutura comercial de anonimato e VPN (incluindo nodos associados ao AS35758) para ocultar a origem das conexões. Embora o foco tenha sido Israel e os EAU, a Check Point detectou atividade relacionada com o mesmo ator contra objetivos na Europa, Estados Unidos, Reino Unido e Arábia Saudita, e aponta para que as vítimas cobrem de organismos governamentais e municípios até setores como tecnologia, transporte e energia.
Este tipo de campanhas evidencia duas realidades críticas: Por um lado, a persistência e a capacidade de sofisticação de atores que operam desde ou com vínculos a Estados; por outro, a vulnerabilidade inerente de muitos ambientes cloud quando não se aplicam controles básicos de defesa em profundidade.
As recomendações para se defender de tentativas de password spraying são conhecidas e, no entanto, continuam sem se aplicar uniformemente. Monitorizar os registos de autenticação para detectar padrões anormais, impor controlos de acesso condicional que limitem a autenticação a localizações permitidas, exigir a autenticação multifator (MFA) para todas as contas e activar o registo de auditoria para permitir investigações posteriores são medidas básicas, mas eficazes. A Microsoft mantém guias práticas sobre como configurar acesso condicional e MFA em ambientes do Azure/Microsoft 365 que são úteis para qualquer administrador: Guia de acesso condicional da Microsoft e Documentação sobre o MFA.
O contexto regional amplifica o risco: não se trata de incidentes isolados, mas de uma dinâmica onde o ciberespaço se tornou um âmbito mais do confronto geopolítico. Em paralelo com as campanhas de acesso e exfiltração, foi observado um aumento de operações de ransomware e outras atividades de sabotagem que misturam motivações políticas e lucro, difuminando a fronteira entre criminalidade organizada e operações com apoio ou tolerância estatal.
Um exemplo recente e relevante é o ataque contra uma organização sanitária nos Estados Unidos no final de fevereiro de 2026 atribuído ao grupo Pay2Key, uma operação de ransomware que, segundo pesquisas independentes e seguradoras, mostra vínculos com operadores iranianos. Nesse incidente, os atacantes teriam usado uma via de acesso não determinada publicamente, aproveitando ferramentas de acesso remoto legítimas para estabelecer presença, coletar credenciais, desativar defesas e implantar o encriptar. Relatórios de assinaturas como Halcyon e Beazley trazem detalhes sobre como estes atores evoluíram suas técnicas: desde a distorção do estado de soluções antivírus até a limpeza de registros no final da execução para apagar pegadas de suas próprias ações. Mais informações gerais sobre o aparecimento e táticas de grupos de ransomware podem ser encontradas nas publicações de Halcyon e em análise da indústria: Halcyon - análise de ameaças e Beazley - recursos sobre ciberincidentes.
Além disso, foram observadas variantes de ransomware adaptadas a ambientes Linux que complicam ainda mais a resposta, concebidas para executar com privilégios root, percorrer amplos intervalos de sistema de arquivos e usar criptografia modernos como ChaCha20, além de desativar mecanismos de segurança e garantir persistência após reinícios. Pesquisas técnicas recentes sobre amostras e comportamento dessas variantes foram publicadas por empresas de segurança como Morphisec, que documentam técnicas de enfraquecimento de defesas e persistência: Morphisec - blog técnico.
No ecossistema do ransomware também foram relatados movimentos entre operadores e afiliados: administradores de famílias de ransomware têm encorajado determinados grupos a adotar outros cifradores ou a reaproveitar famílias com motivações políticas-ideológicas, o que impulsiona uma circulação de ferramentas e táticas no submundo do cibercrime que acaba repercutindo sobre objetivos civis e empresariais. Este fenômeno reforça a tese de que muitas campanhas contemporâneas combinam objetivos geopolíticos com modelos de negócio criminosos, e que os objetivos na região – desde infra-estruturas críticas até fornecedores de serviços – são especialmente apeciáveis.
O que pode fazer uma organização hoje? Para além de aplicar MFA e controles de acesso condicional, é fundamental manter uma higiene de contas: restringir contas com privilégios, rotar e descartar senhas por defeito, implantar detecção em pontos finais e ambientes de correio, e praticar planos de resposta e recuperação que incluam cópias de segurança resistentes e procedimentos de restauração testados. A visibilidade é crítica: o registro e a análise de telemetria de autenticações e atividades na nuvem permitem detectar padrões de barrido e movimentos laterais antes que a intrusão derive em exfiltração ou cifra em massa.
Por último, convém recordar que a ciberdefesa não é apenas uma questão técnica, mas também organizacional e política. A colaboração entre sectores, o intercâmbio de informações entre empresas e agências nacionais e a adopção contínua de boas práticas por parte de fornecedores e clientes são elementos necessários para reduzir o impacto destas campanhas. Para quem gere ambientes Microsoft 365, os guias e ferramentas publicados pelo próprio provedor e pela comunidade de resposta a incidentes são um bom ponto de partida: Monitorização e relatórios de identidades no Azure AD.
O panorama de ameaças muda rapidamente e, muitas vezes, sem grandes anúncios públicos: ataques que começam com uma simples tentativa de senha podem se tornar lacunas com consequências económicas e operacionais severas. A melhor defesa é antecipar-se com controles básicos bem configurados, visibilidade contínua e procedimentos de resposta afinados. Para manter-se no dia sobre estas ameaças e recomendações técnicas, convém seguir as publicações das assinaturas especializadas e os centros de resposta a incidentes que documentam e analisam esses eventos em tempo real.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...