A Microsoft anunciou na última quarta-feira, que um recurso de contenção de usuários no Microsoft Defender para Endpoint ajudou a frustrar uma “tentativa de criptografia remota em grande escala” feita por atores do ransomware Akira, que visava uma organização industrial desconhecida em junho de 2023.

A equipe de inteligência de ameaças da empresa está monitorando o operador sob o nome de código Storm-1567. O ataque utilizou dispositivos que não estavam integrados ao Microsoft Defender para Endpoint como uma tática de evasão de defesa.

Além disso, os atacantes realizaram uma série de atividades de reconhecimento e movimento lateral antes de criptografar os dispositivos usando uma conta de usuário comprometida.

A nova capacidade de interrupção automática de ataques significa que as contas violadas são impedidas de “acessar endpoints e outros recursos na rede, limitando a capacidade dos invasores de se moverem lateralmente, independentemente do estado ou nível de privilégio da conta no Active Directory”.

Em outras palavras, a ideia é cortar toda a comunicação de entrada e saída e proibir ataques operados por humanos de acessar outros dispositivos na rede.

A Microsoft também informou que sua plataforma de segurança de endpoint empresarial interrompeu tentativas de movimento lateral contra um laboratório de pesquisa médica em agosto de 2023.

“Contas de usuário altamente privilegiadas são, sem dúvida, os ativos mais importantes para os invasores”, disse a Microsoft. Contas comprometidas em ambientes que usam soluções tradicionais fornecem aos invasores acesso ao Active Directory e podem subverter mecanismos de segurança tradicionais.