t1667-email-bombing

# T1667 - Email Bombing ## Descrição **Email Bombing** (ou mail bombing) é uma técnica de impacto classificada no framework [[mitre-attack|MITRE ATT&CK]] sob a tática **Impact**, pela qual adversários inundam endereços de e-mail alvos com um volume massivo de mensagens em curto período de tempo. O objetivo central é soterrar comúnicações legítimas - incluindo alertas de segurança, correspondências de clientes e tickets de suporte - sob uma avalanche de spam, efetivamente cegando o alvo e impedindo resposta a ações maliciosas em andamento. A técnica ganhou proeminência significativa a partir de 2024, especialmente como precursor para ataques de engenharia social mais elaborados. O grupo [[g1046-storm-1811|Storm-1811]], por exemplo, utilizou email bombing em combinação com chamadas de voz fraudulentas ([[t1566-004-spearphishing-voice|Spearphishing Voice]]) para se passar por suporte técnico legítimo, obtendo acesso remoto às máquinas das vítimas e posteriormente implantando [[s1070-black-basta-ransomware|ransomware Black Basta]]. Do ponto de vista operacional, o email bombing não requer exploração de vulnerabilidades técnicas: o adversário simplesmente registra o endereço alvo em dezenas ou centenas de listas de e-mail, newsletters e fóruns que não possuem válidação adequada de novos inscritos. Em minutos, o inbox da vítima pode receber milhares de mensagens, tornando inviável a identificação de e-mails legítimos - como notificações de login suspeito, alertas de transações financeiras ou comúnicações internas críticas. Além da perturbação operacional, o email bombing também é empregado como ferramenta de assédio a pesquisadores de segurança, ativistas, jornalistas e figuras políticas, configurando-se como vetor de dano reputacional e psicológico além do técnico. ## Como Funciona O mecanismo técnico do email bombing envolve as seguintes etapas: **1. Seleção e enumeração do alvo** O adversário identifica o endereço de e-mail corporativo ou pessoal da vítima. Endereços de executivos, equipes de segurança (SOC) e help desk são alvos preferênciais, pois sua incapacitação maximiza o impacto operacional. **2. Automação de inscrições em massa** Bots automatizados registram o endereço alvo em listas de newsletters, fóruns, plataformas de e-commerce e serviços que não implementam dupla confirmação (double opt-in). Ferramentas simples de scripting em Python ou serviços disponíveis em mercados clandestinos permitem inscrições em milhares de serviços em poucos minutos. **3. Inundação do inbox** As confirmações e e-mails de boas-vindas de todos os serviços inscritos chegam simultaneamente. O volume pode variar de centenas a dezenas de milhares de mensagens em menos de uma hora, dependendo da escala da operação. **4. Cobertura de alertas críticos** Com o inbox sobrecarregado, alertas de segurança (notificações de MFA, avisos de login suspeito, e-mails de redefinição de senha), comúnicações de clientes e tickets de suporte ficam enterrados. O adversário pode então realizar operações maliciosas - como roubo de credenciais, transferências bancárias não autorizadas ou implantação de malware - sem que a vítima perceba em tempo hábil. **5. Engenharia social complementar** Em ataques sofisticados, como os documentados contra usuários corporativos pelo [[g1046-storm-1811|Storm-1811]], o email bombing é seguido de uma chamada telefônica. O atacante se identifica como suporte de TI e oferece ajuda para "resolver o problema de spam", convencendo a vítima a instalar ferramentas de acesso remoto como [[s1209-quick-assist|Quick Assist]] ou AnyDesk. ## Attack Flow ```mermaid graph TB A[Reconhecimento - Identificação do e-mail alvo] --> B[Inscrição automatizada em listas de e-mail] B --> C[Inundação do inbox com milhares de mensagens] C --> D{Alvo corporativo?} D -- Sim --> E[Enterrar alertas de segurança e SOC] D -- Sim --> F[Ligar para o alvo como suporte falso] E --> G[Jánela para ações maliciosas não detectadas] F --> H[Engenharia social - instalar acesso remoto] H --> I[Roubo de credenciais / Deploy de ransomware] G --> J[Transferência financeira fraudulenta] D -- Não --> K[Assédio / Dano reputacional] I --> L[Impacto final - Extorsão / Destruição de dados] J --> L ``` ## Exemplos de Uso ### Storm-1811 - Campanhas Black Basta (2024) O grupo de ameaça financeiramente motivado [[g1046-storm-1811|Storm-1811]] documentou o uso extensivo de email bombing como primeiro estágio de ataques de ransomware. A métodologia observada pela Microsoft Threat Intelligence em 2024 seguiu o padrão: 1. Vítimas corporativas recebiam entre 3.000 e 5.000 e-mails de spam em menos de 45 minutos 2. Atacantes ligavam para a vítima se passando pelo suporte de TI da empresa 3. Sob pretexto de "resolver o problema de spam", convenciam a vítima a abrir o [[s1209-quick-assist|Quick Assist]] (ferramenta nativa do Windows) 4. Com acesso remoto estabelecido, implantavam [[s1070-black-basta-ransomware|ransomware Black Basta]] na infraestrutura da vítima Este padrão representa uma evolução significativa do email bombing, transformando-o de mera perturbação em vetor de acesso inicial para [[t1657-financial-theft|Financial Theft]] e extorsão por ransomware. ### Hacktivismo e Desordem de Informação Grupos hacktivistas frequentemente utilizam email bombing contra jornalistas, ativistas e figuras políticas como forma de censura digital. Ao incapacitar as caixas de entrada de comúnicadores, o adversário dificulta a coordenação de respostas a crises, o recebimento de fontes e a manutenção de operações normais. ### Cobertura de Fraudes Financeiras Em ambientes corporativos, o email bombing tem sido observado como precursor de fraudes BEC (Business Email Compromise). O adversário realiza o bombing logo após executar uma transferência não autorizada, garantindo que os alertas do banco e e-mails de confirmação se percam no flood antes que o time financeiro os identifique. ## Detecção A detecção de email bombing requer monitoramento de volume e padrões de comportamento nos sistemas de e-mail corporativos. Regras de SIEM e gateways de e-mail são os principais mecanismos de identificação. ```yaml title: Detecção de Email Bombing - Volume Anormal de E-mails Recebidos status: experimental logsource: category: email product: microsoft_exchange service: message_tracking detection: selection: EventID: 1020 Recipient|contains: "@" timeframe: 10m condition: selection | count(Recipient) by Recipient > 200 level: high tags: - attack.impact - attack.t1667 falsepositives: - Newsletters legítimas de alto volume durante campanhas - Sistemas de monitoramento que enviam muitas notificações ``` **Indicadores adicionais de alerta:** - Spike repentino de e-mails recebidos de domínios variados em curto período - Alta proporção de e-mails de confirmação de inscrição em newsletters desconhecidas - Chamadas de suporte de TI não solicitadas logo após o início do bombing - Instalação de ferramentas de acesso remoto (Quick Assist, AnyDesk, TeamViewer) por usuário que relatou problema de spam **Fontes de dados recomendadas:** - Logs de gateway de e-mail (Microsoft Exchange, Google Workspace, Proofpoint) - SIEM - correlação de volume de e-mails por destinatário - Logs de autenticação - tentativas de login após evento de bombing - EDR - processos de acesso remoto iniciados após evento ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para reconhecer email bombing como possível precursor de engenharia social. Orientar a não instalar ferramentas de acesso remoto a pedido de suporte não solicitado, mesmo que pareça legítimo. Simulações de vishing são especialmente relevantes para esta técnica. | | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar filtros agressivos no gateway de e-mail para limitar volume de mensagens por remetente/domínio por período. Implementar regras de raté limiting em clientes de e-mail. Desabilitar ou restringir acesso ao Quick Assist e outras ferramentas de acesso remoto nativas em ambientes corporativos. | **Controles adicionais recomendados:** - Implementar regras de quarentena automática para picos de volume incomuns por destinatário - Habilitar alertas para instalação de software de acesso remoto em endpoints corporativos - Estabelecer canal alternativo de verificação de identidade para solicitações de suporte técnico por telefone - Monitorar e alertar para o uso do Quick Assist, AnyDesk e TeamViewer em horários fora do padrão ## Contexto Brasil/LATAM O Brasil é um dos países mais visados por ataques de engenharia social na América Latina, e o email bombing tem sido documentado como componente de campanhas voltadas ao setor financeiro brasileiro. Grupos de cibercrime que operam fraudes BEC (Business Email Compromise) contra empresas brasileiras de médio porte utilizam variações desta técnica para encobrir transferências fraudulentas em sistemas bancários. O setor [[_sectors|financeiro]] é particularmente vulnerável, dado o alto volume de transações e a pressão sobre equipes de operações para não interromper fluxos de pagamento. Quando um inbox é inundado, a jánela de oportunidade para uma transferência fraudulenta passa sem detecção. Grupos de [[hacktivismo-brasil|hacktivistas brasileiros]] - especialmente aqueles alinhados a movimentos políticos - também empregam email bombing como ferramenta de disrupção contra adversários políticos, veículos de imprensa e pesquisadores de segurança independentes. Plataformas como Telegram facilitam a coordenação de campanhas de bombing manual, onde membros de grupos simultaneamente registram o alvo em serviços de spam. A ascensão de grupos de ransomware-as-a-service com afiliados brasileiros - como variantes de [[lockbit|LockBit]] e [[s1070-black-basta-ransomware|Black Basta]] - aumenta o risco de que a métodologia documentada contra o Storm-1811 sejá replicada no contexto local, dado que o Brasil possui alta penetração de ferramentas de acesso remoto em ambientes corporativos. **Setores mais expostos no LATAM:** - [[_sectors|Financeiro]] - bancos, fintechs, processadoras de pagamento - Governo e administração pública - Saúde - hospitais e operadoras de planos - Varejo e e-commerce de grande porte ## Referências - [MITRE ATT&CK - T1667: Email Bombing](https://attack.mitre.org/techniques/T1667) - [Microsoft Threat Intelligence - Storm-1811 Black Basta Campaigns (2024)](https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/) - [BleepingComputer - Black Basta ransomware gang linked to email bombing campaigns](https://www.bleepingcomputer.com/news/security/black-basta-ransomware-gang-linked-to-email-bombing-campaigns/) - [[m1017-user-training|M1017 - User Training]] - [[m1054-software-configuration|M1054 - Software Configuration]] - [[t1566-004-spearphishing-voice|T1566.004 - Spearphishing Voice]] - [[t1657-financial-theft|T1657 - Financial Theft]] --- *Fonte: [MITRE ATT&CK - T1667](https://attack.mitre.org/techniques/T1667)*