Notícias
RECOMENDAÇÃO 11/2026
[TLP:CLEAR]
1. O CTIR Gov identificou um risco potencial de abuso de recursos computacionais em ambientes Microsoft Azure e ataques de Cryptojacking decorrentes do comprometimento de identidades privilegiadas para os órgãos da Administratação Pública Federal que utilizam o serviço em nuvem do SEPRO (Cloud Broker).
2. O ataque identificado consiste na utilização não autorizada de recursos computacionais da infraestrutura de nuvem para mineração de criptomoedas (Cryptojacking). Nessa modalidade de ataque, os adversários comprometem contas com privilégios elevados e utilizam tais acessos para provisionar máquinas virtuais de alto desempenho, frequentemente equipadas com unidades de processamento gráfico (GPUs), gerando custos significativos para a organização comprometida.
2. Táticas, Técnicas e Procedimentos (TTPs) Observados
2.1 Campanhas recentes atribuídas aos grupos Storm-1283 e UNC6590 demonstram um conjunto recorrente de técnicas utilizadas para obtenção e manutenção do acesso aos ambientes comprometidos.
| Fase | Técnica | Descrição |
|---|---|---|
| Acesso Inicial | T1566 / T1078 | Utilização de Device Code Phishing e kits Adversary-in-the-Middle (AiTM) para captura de tokens de autenticação e contorno do MFA. |
| Persistência | T1136.003 | Criação de aplicações OAuth maliciosas ou novos Service Principals para manutenção do acesso mesmo após a redefinição de senhas. |
| Evasão de Defesa | T1562.001 | Pode ser utilizado para contornar determinados controles de monitoramento baseados exclusivamente em rede. |
| Impacto | T1496 | Provisionamento de recursos em regiões de nuvem pouco utilizadas pela organização, reduzindo a probabilidade de detecção imediata. |
3. Medidas de Prevenção
3.1 As seguintes medidas devem ser consideradas prioritárias:
| Controle | Descrição |
|---|---|
| Desativação da Autenticação Legada | Desabilitar protocolos de autenticação que não suportem MFA. |
| Conditional Access | Exigir dispositivos gerenciados (Compliant Devices) ou origens de rede previamente autorizadas para acessos administrativos. |
| Privileged Identity Management (PIM) | Implementar privilégios administrativos temporários (Just-in-Time Administration), eliminando acessos permanentes de alto privilégio. |
| Revisão de Aplicações OAuth | Monitorar continuamente aplicações registradas e permissões concedidas no Microsoft Entra ID. |
3.2 Recomenda-se a implementação dos seguintes mecanismos de governança:
| Controle | Objetivo |
|---|---|
| Azure Policy – Allowed Locations | Restringir a criação de recursos apenas às regiões efetivamente utilizadas pelo órgão. |
| Restrição de SKUs | Limitar os tipos de máquinas virtuais autorizadas para implantação. |
| Bloqueio de Instâncias com GPU | Impedir o provisionamento de séries de alto desempenho quando não houver justificativa operacional. |
| Controle de Cotas | Restringir aumentos de capacidade computacional sem processo formal de aprovação. |
4. O monitoramento contínuo da utilização dos recursos de computação em nuvem deve ser tratado como um importante mecanismo complementar de detecção de incidentes de segurança. A criação não autorizada de recursos computacionais pode resultar em aumentos significativos de custos operacionais, constituindo um dos principais indicadores de comprometimento em ambientes de nuvem.
4.1 Recomenda-se que os órgãos estabeleçam mecanismos de acompanhamento e alerta relacionados ao consumo de recursos e aos custos associados aos serviços de nuvem utilizados. Sempre que possível, devem ser configuradas notificações automáticas para informar os responsáveis quando o consumo atingir percentuais previamente definidos do orçamento planejado, permitindo a identificação precoce de desvios e a adoção de medidas corretivas. Também é recomendável utilizar funcionalidades de detecção de anomalias disponibilizadas pelo provedor de nuvem para identificar aumentos inesperados de consumo ou despesas incompatíveis com o perfil operacional da organização.
4.2 Os órgãos devem implementar mecanismos de monitoramento capazes de identificar atividades potencialmente relacionadas ao uso indevido de recursos computacionais, incluindo:
* solicitações de ampliação de capacidade computacional;
* criação de novos recursos de processamento em volume incomum;
* concessão de privilégios administrativos ou permissões sensíveis;
* criação de identidades, aplicações ou mecanismos de acesso persistente;
* provisionamento de recursos em localidades ou regiões não utilizadas regularmente pela organização.
Recomenda-se que tais eventos sejam avaliados à luz do contexto operacional do órgão, considerando o comportamento histórico do ambiente e a existência de mudanças previamente autorizadas.
4.3 A identificação de consumos atípicos, ampliações inesperadas de capacidade ou atividades administrativas incompatíveis com o padrão operacional da organização deve motivar análise tempestiva pela equipe responsável, visando verificar a ocorrência de erros operacionais, falhas de governança ou possíveis incidentes de segurança.
5. Embora os exemplos apresentados nesta recomendação sejam baseados no Microsoft Azure, os riscos e técnicas descritos aplicam-se de forma geral aos serviços de computação em nuvem. Provedores como Amazon Web Services (AWS), Google Cloud (Google Cloud Platform) e Oracle Corporation (Oracle Cloud Infrastructure), entre outros, também estão sujeitos a ataques de Cryptojacking e abuso de recursos computacionais decorrentes do comprometimento de identidades ou credenciais privilegiadas. Recomenda-se a adoção de controles equivalentes de prevenção, monitoramento e resposta a incidentes em todos os ambientes de nuvem utilizados pelo órgão.
[TLP:CLEAR]