A Microsoft afirma que esses ataques utilizam o acesso a múltiplos servidores virtuais privados (VPS) em combinação com aluguel de infraestrutura em nuvem, proxies e ferramentas de ataque de negação de serviço distribuída (DDoS). Storm-#### (anteriormente DEV-####) é uma designação temporária que o proprietário do Windows atribui a grupos não identificados, emergentes ou em desenvolvimento, cuja identidade ou afiliação não foi claramente estabelecida.
Embora não haja evidências de que dados de clientes tenham sido acessados ilegalmente, a Microsoft afirmou que os ataques afetaram temporariamente a disponibilidade de alguns serviços. A empresa sediada em Redmond disse ainda ter observado o grupo lançando ataques DDoS de camada 7 a partir de múltiplos serviços em nuvem e infraestruturas de proxy abertas.
Envolve ataques em massa a serviços-alvo com um grande volume de solicitações HTTP(S); o atacante tenta contornar a camada CDN e sobrecarregar os servidores usando uma técnica conhecida como Slowloris.
O Centro de Resposta de Segurança da Microsoft (MSRC) afirmou que esses ataques DDoS têm origem em clientes que abrem conexões com servidores web, solicitando recursos (por exemplo, imagens), mas não confirmando os downloads ou atrasando a aceitação, forçando o servidor a manter a conexão aberta e os recursos solicitados na memória.
O grupo Anonymous Sudan reivindicou a autoria do ataque DDoS contra os serviços da Microsoft.
Como resultado, os serviços do Microsoft 365, como Outlook, Teams, SharePoint Online e OneDrive for Business, sofreram interrupções no início de maio. A empresa afirmou ter detectado uma anomalia devido ao aumento repentino na taxa de solicitações. A análise de tráfego revelou que um grande número de solicitações HTTP ignorou as salvaguardas automáticas existentes e acionou as respostas de indisponibilidade do serviço.
O grupo de hackers Anonymous Sudan reivindicou a autoria dos ataques, mas a Microsoft não vinculou o Storm-1359 a eles. O Anonymous Sudan já havia lançado ataques DDoS contra organizações na Suécia, Holanda, Austrália e Alemanha desde o início do ano.
Analistas da Trustwave afirmaram que o grupo mantém ligações abertas com o KillNet da Rússia, que frequentemente usa a narrativa de proteger o Islã como justificativa para seus ataques. O KillNet também ganhou notoriedade por ataques DDoS contra organizações de saúde hospedadas no Microsoft Azure, que registraram quase 60 ataques diários em fevereiro de 2023.
O grupo Anonymous Sudan colaborou com a KillNet e a REvil para formar o "Parlamento da Darknet" e orquestrou ciberataques contra instituições financeiras na Europa e nos EUA, com o objetivo principal de paralisar as operações da SWIFT. Os registros da Flashpoint indicam que as motivações da KillNet eram primordialmente financeiras, utilizando apoio russo para promover seus serviços de DDoS alugados.
Link da fonte
![[Foto] O primeiro-ministro Pham Minh Chinh participa da Conferência sobre a Implementação das Tarefas para 2026 do Setor da Indústria e do Comércio.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F19%2F1766159500458_ndo_br_shared31-jpg.webp&w=3840&q=75)
Comentário (0)