81 milioni di tentativi di login trasformano una debolezza di identità di routine in un allarme cloud
Un'impennata di due settimane di tentativi di accesso automatizzati mostra come il password spraying possa mettere sotto pressione le difese cloud anche quando la reale entità dell'impatto sugli account resta ancora poco chiara.
Introduzione
Gli attacchi cloud non arrivano sempre con malware o con una catena di exploit appariscente. A volte sembrano solo un rumore incessante di login. In questo caso, oltre 81 milioni di tentativi sono stati collegati a una campagna di password spraying rivolta a account Microsoft 365 e account dell'interfaccia a riga di comando di Azure in una finestra di due settimane nel giugno 2026. L'evento ricorda che i sistemi di identità restano un obiettivo primario perché si trovano alla porta d'ingresso del lavoro moderno.
Fatti rapidi
- Nella campagna sono stati registrati oltre 81 milioni di tentativi di login.
- L'attività si è svolta tra il 12 giugno e il 26 giugno 2026.
- Sono stati presi di mira account Microsoft 365 e account dell'interfaccia a riga di comando di Azure.
- Il password spraying in genere distribuisce un piccolo numero di tentativi di password su molti account.
- L'attività è stata ricondotta a un intervallo IPv6 associato a LSHIY LLC (AS32167).
Corpo
Il password spraying è attraente per gli aggressori perché è più silenzioso del classico brute force. Invece di martellare un solo nome utente fino al blocco dell'account, il metodo ruota tra molti account e mantiene il numero di tentativi abbastanza basso da confondersi con il normale traffico di autenticazione. Questo rende la telemetria delle identità, non solo la sicurezza degli endpoint, la principale linea di difesa.
Gli account Microsoft 365 sono particolarmente sensibili perché spesso collegano email, collaborazione e file sotto un unico accesso. Gli account dell'interfaccia a riga di comando di Azure possono essere altrettanto importanti in molti ambienti perché amministratori e flussi di lavoro di automazione li usano per gestire le risorse cloud. Questo non significa che ogni account preso di mira sia stato compromesso completamente, ma significa che anche un accesso riuscito su un numero ridotto di identità può creare un rischio sproporzionato in base ai privilegi e ai controlli locali.
Le informazioni disponibili supportano un'analisi del rischio, non una visione definitiva dell'intero percorso di compromissione. Anche il numero esatto di account colpiti non è completamente visibile nel riepilogo troncato, quindi l'impatto complessivo dovrebbe essere considerato con cautela.
Dal punto di vista difensivo, il caso mette in evidenza alcuni segnali di base ma critici: ripetuti fallimenti di autenticazione su molti account, picchi insoliti di accessi da infrastrutture condivise e tentativi rivolti ad accessi amministrativi o programmatici. Le politiche robuste per le password aiutano, ma da sole non bastano. L'autenticazione multi-fattore, i limiti di frequenza, gli avvisi per i pattern simili al password spraying e la revisione dei percorsi di autenticazione legacy sono i controlli pratici che fanno la differenza.
La traccia verso un intervallo IPv6 associato a LSHIY LLC aggiunge un livello di attribuzione, ma l'attribuzione da sola non risolve il problema tecnico. Ciò che conta operativamente è che l'abuso delle identità può scalare molto rapidamente quando gli accessi cloud sono esposti a password deboli, credenziali riutilizzate o un rafforzamento dell'autenticazione incoerente.
Conclusione
La lezione è diretta: la sicurezza cloud spesso crolla o resiste nella schermata di login. Una campagna di spraying non ha bisogno di exploit sofisticati per diventare grave. Ha solo bisogno di un numero sufficiente di account esposti e di un attrito insufficiente nell'autenticazione. Per i difensori, il segnale è chiaro - trattare i ripetuti fallimenti di accesso come un evento di sicurezza, non come rumore di fondo.
TECHCROOK
Chiave di sicurezza hardware: Una chiave di sicurezza hardware aggiunge un'autenticazione a due fattori resistente al phishing per email, cloud e account amministrativi. Per le organizzazioni che si affidano a Microsoft 365 o all'accesso ad Azure, è un modo pratico per rafforzare la protezione del login oltre le sole password. Cerca modelli che supportino standard comuni come FIDO2 e che funzionino con gli account che usi già.
WIKICROOK
- Password spraying: un attacco che prova una o poche password comuni su molti account.
- Microsoft 365: una suite di servizi cloud centrata su identità, email e collaborazione.
- Interfaccia a riga di comando di Azure: uno strumento basato su terminale per la gestione delle risorse Azure e dell'automazione.
- Autenticazione multi-fattore: un controllo di accesso che richiede più di una prova di identità.
- IPv6: il più recente sistema di indirizzamento Internet con uno spazio di indirizzi molto più ampio di IPv4.




