Blog

Mais de 80 mil contas Microsoft Entra ID comprometidas

Escrito por LC Sec | 12/06/2025 12:58:00
Infraestrutura & Patches

Mais de 80 mil contas Microsoft Entra ID comprometidas

Uma campanha de roubo de contas comprometeu mais de 80 mil identidades no Microsoft Entra ID. Utilizando o framework TeamFiltration, os atacantes realizam password spraying e exfiltram dados. A imp...

Navegação

O que é a campanha UNK_SneakyStrike Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rápido

Uma campanha de roubo de contas comprometeu mais de 80 mil identidades no Microsoft Entra ID. Utilizando o framework TeamFiltration, os atacantes realizam password spraying e exfiltram dados. A implementação de medidas de segurança, como MFA, é essencial para proteger as contas.

Neste artigo você vai aprender:

  • O que é a campanha UNK_SneakyStrike e seu impacto no Microsoft Entra ID.
  • Como funciona o ataque, incluindo técnicas utilizadas pelos invasores.
  • Sinais de alerta para identificar possíveis comprometimentos de contas.
  • Medidas imediatas que podem ser tomadas para proteger as contas.
  • Boas práticas para prevenção contra ataques futuros.

O que é a campanha UNK_SneakyStrike

Pesquisadores identificaram uma campanha de roubo de contas em larga escala que comprometeu mais de 80 mil identidades no Microsoft Entra ID (antigo Azure AD). A mobilização começou em dezembro de 2024 e continua com fortes riscos para empresas.

Como funciona

A campanha chamada UNK_SneakyStrike, pela Proofpoint, utilizou o framework open-source TeamFiltration para realizar ataques de password spraying e enumeração de usuários por meio da API do Microsoft Teams e servidores AWS.

Desde dezembro de 2024, mais de 80 mil contas em centenas de organizações foram afetadas, com invasões que exploram serviços como Teams, OneDrive e Outlook. Após comprometer as credenciais, os invasores exfiltram dados e inserem arquivos maliciosos no OneDrive para manter acesso persistente.

As ações de ataque vêm de múltiplas regiões, incluindo EUA (42%), Irlanda (11%) e Reino Unido (8%). O padrão é disparar rajadas concentradas de tentativas de login, com pausas de 4 a 5 dias entre elas, permitindo filtrar alvos em grandes organizações.

Sinais de alerta / Como identificar

Fique atento a atividades suspeitas, como tentativas de login em massa e uploads não autorizados no OneDrive. Monitorar a autenticação via API é fundamental para detectar possíveis ataques em andamento.

O que fazer agora / Como se proteger

Implemente as seguintes medidas de segurança:

  1. Implemente MFA (autenticação multifator) para todas as contas Entra ID, incluindo sistemas legados.
  2. Bloqueie ou monitore tentativas de password spraying e autenticação via API em massa.
  3. Ative logs de auditoria e alertas para atividades como upload no OneDrive ou sinalizações suspeitas no Teams.
  4. Aplique políticas condicionais de acesso (Conditional Access) limitando origens e horários de acesso.
  5. Revise periodicamente contas com acesso privilegiado e enderece senhas fracas ou expostas.

Prevenção / Boas práticas

O caso UNK_SneakyStrike evidencia como ferramentas legítimas, como o TeamFiltration, podem ser usadas de forma maliciosa. O risco é mais palpável quando atacantes exploram falhas de configuração ou ausência de MFA. A LC SEC oferece serviços voltados à implementação de autenticação reforçada, monitoramento contínuo e estratégias de resposta rápida que garantem a integridade do seu ambiente Entra ID.

Proteja sua empresa hoje mesmo.

Conheça nossos serviços em: lcsec.io

Falar com especialista
Visualizar publicação completa