На тлі зростання напруження на Близькому Сході дослідники фіксують масштабну кампанію password spraying проти хмарних середовищ Microsoft 365, яку пов’язують з проіранськими кіберугрупованнями. За даними Check Point, основний удар прийшовся на Ізраїль і Об’єднані Арабські Емірати, однак атаки торкнулися також організацій у Європі, США, Великій Британії та Саудівській Аравії.
Глобальна хвиля атак на хмарні середовища Microsoft 365
Аналітики Check Point відзначають, що кампанія розвивається серіями хвильової активності: аномальні сплески спостерігались 3, 13 та 23 березня 2026 року. Під прицілом опинилося понад 300 організацій в Ізраїлі і більше 25 – в ОАЕ, включно з державними установами, муніципалітетами, транспортною, енергетичною, технологічною інфраструктурою та приватним сектором.
Ключова ціль зловмисників – облікові записи Microsoft 365: поштові скриньки, OneDrive, SharePoint та пов’язані сервіси. Компрометація M365 дає можливість викрасти конфіденційні листи й документи, а також використати отриманий доступ для подальшого руху всередині корпоративної інфраструктури.
Як працює password spraying і чому страждає Microsoft 365
Password spraying – це метод масового перебору паролів, коли зловмисник тестує один або кілька популярних чи слабких паролів одразу проти великої кількості облікових записів. На відміну від класичного брутфорсу, фокус робиться не на одному акаунті, а на ширині охоплення логінів.
Такий підхід істотно знижує ймовірність блокування через ліміти невдалих входів і тригери аномальної активності. Саме тому password spraying став одним з найефективніших способів виявлення слабких паролів у хмарних середовищах, зокрема в Microsoft 365, де використовується централізована аутентифікація та єдиний вхід до великої кількості сервісів.
Пов’язані угруповання: Peach Sandstorm та Gray Sandstorm
Check Point пов’язує поточну хвилю атак із тактиками, раніше зафіксованими у діяльності іранських груп Peach Sandstorm і Gray Sandstorm (раніше DEV‑0343), які традиційно націлені на урядові структури та критичну інфраструктуру.
Логи Microsoft 365 виявили подібність до TTP (tactics, techniques and procedures) Gray Sandstorm, включно з використанням red team-інструментів через вихідні вузли мережі Tor. Інфраструктура атак комбінує Tor-мережу та комерційні VPN-сервіси, зокрема вузли в автономній системі AS35758 (Rachamim Aviel Twito), що корелює з нещодавніми операціями, приписуваними проіранським структурам у регіоні.
Триетапна модель проникнення в облікові записи M365
Дослідники описують чітку трифазну схему атаки на Microsoft 365. На першому етапі зловмисники з анонімізованих IP-адрес Tor і VPN виконують широкомасштабне сканування та масовий password spraying по переліку корпоративних акаунтів.
Після успішного підбору паролів другий етап полягає у закріпленні доступу: систематичні входи до поштових скриньок, перевірка наявності чутливої інформації, розвідка внутрішньої структури організації та розгортання додаткових інструментів доступу.
Завершальна фаза – ексфільтрація даних. Зазвичай йдеться про повну або часткову вигрузку поштових скриньок, потенційний доступ до документів у OneDrive і SharePoint, а також збір метаданих для наступних фішингових, шантажних чи інформаційних операцій.
Іранські програми-вимагачі Pay2Key та BQTLock: еволюція тактики
На тлі атак на Microsoft 365 наприкінці лютого 2026 року було зафіксовано інцидент із великою медичною організацією в США, яка стала жертвою ransomware-операції Pay2Key. Ця проіранська група працює за моделлю ransomware-as-a-service (RaaS) і асоціюється експертами з угрупованням Fox Kitten.
На відміну від поширеної нині моделі double extortion, у цьому випадку дані не зливалися в публічний простір: акцент зроблено на швидкій деструкції та шифруванні. Ланцюжок атаки включав початкове проникнення (вектор доступу ще не розкритий), розгортання легітимного ПЗ віддаленого доступу (зокрема TeamViewer), крадіжку облікових даних для латерального переміщення, відключення Microsoft Defender Antivirus шляхом емуляції наявності іншого антивіруса, перешкоджання відновленню, запуск шифрувальника, створення записки з вимогою викупу та повне очищення журналів.
Показово, що лог-файли знищуються наприкінці операції – це ускладнює форензик-аналіз, оскільки зникають сліди як початкового проникнення, так і власне процесу шифрування.
Повернувшись на арену у 2025–2026 роках, Pay2Key змінила умови для афілійованих партнерів, пропонуючи до 80% від суми викупу за атаки проти «ворогів Ірану» (раніше – 70%). Паралельно дослідники виявили Linux-варіант Pay2Key: він керується конфігураційним файлом, потребує root‑прав, сканує файлову систему, шифрує дані алгоритмом ChaCha20, попередньо відключаючи захисні механізми, зупиняючи сервісні процеси, деактивуючи SELinux та AppArmor і закріплюючись через cron.
Компанія Halcyon також повідомляє, що адміністратор ransomware-проєкту Sicarii під псевдонімом Uke закликав проіранських операторів переходити на Baqiyat 313 Locker (BQTLock). Цей шифрувальник із заявленою пропалестинською мотивацією з липня 2025 року атакує організації в ОАЕ, США та Ізраїлі, що посилює загальний фон геополітично вмотивованих кібератак.
Ключові заходи захисту Microsoft 365 та протидії ransomware
Організаціям, що використовують Microsoft 365 та інші хмарні сервіси, доцільно поєднувати технічні й організаційні заходи. По‑перше, необхідно постійно моніторити журнали аутентифікації і налаштувати сповіщення про множинні збої входу з різних акаунтів, особливо з анонімних мереж (Tor, публічні VPN) та нетипових геолокацій.
По‑друге, варто впровадити Conditional Access: обмежити доступ до Microsoft 365 за дозволеними країнами, IP-адресами чи корпоративними VPN-шлюзами. Мультифакторна аутентифікація (MFA) для всіх користувачів залишається одним із найефективніших бар’єрів проти password spraying та викрадення паролів.
По‑третє, критично важливо активувати аудиторські журнали та регулярно їх експортувати. Це дозволить у випадку інциденту відтворити повний ланцюжок атаки, виявити прогалини в захисті та коректно налаштувати засоби виявлення загроз.
Для мінімізації наслідків атак програм-вимагачів організаціям потрібні регулярні офлайн‑резервні копії, сегментація мережі, жорсткий контроль над віддаленим адмініструванням та оперативне встановлення оновлень безпеки. Поєднання таких технічних заходів із системним навчанням персоналу та безперервним моніторингом ризиків значно знижує шанси як на успішну password spraying‑кампанію, так і на руйнівні атаки ransomware, що дедалі частіше стають гібридним інструментом між кіберзлочинністю та державною саботажною активністю.
