Azure Firewall Premium - proteção contra malwares

 

O Azure Firewall Premium protege redes contra malwares sofisticados, com foco no Lumma Stealer, uma ameaça digital cada vez mais prevalente. O Lumma Stealer, também conhecido como LummaC2, é um tipo de “malware‑as‑a‑service” que tem como alvo sistemas Windows para roubar dados sensíveis, como credenciais de acesso, informações financeiras e carteiras de criptomoedas. Em 2025, ele já havia sido responsável por infectar mais de 394 mil computadores, facilitando fraudes em massa .

Desde 2022, o Azure Firewall Premium conta com proteção integrada contra o Lumma Stealer, suportando mais de 2.700 assinaturas de IDPS especificamente voltadas para detectar e bloquear atividades ligadas a esse malware. Essa capacidade faz parte de um conjunto maior de mais de 72.000 regras que são atualizadas diariamente — entre 30 e 50 novos padrões são adicionados todos os dias — garantindo não apenas proteção contra malwares como Lumma, mas também contra phishing, botnets, anomalias de rede e exploits variados. O sistema mantém alta precisão, com menos de cinco falsos positivos relatados desde seu lançamento.

Além das assinaturas, a força do Azure Firewall Premium está em sua integração com a Threat Intelligence da Microsoft, monitoramento de tráfego e capacidade de atuação em tempo real contra domínios maliciosos ou conexões anômalas. Segundo a Microsoft, centenas de tentativas de ataque vinculadas ao Lumma Stealer foram registradas e bloqueadas pela frota global de firewalls.

Para ilustrar o funcionamento do Firewall Premium no ambiente corporativo, considere um cenário típico: o tráfego de saída da rede passa primeiro pelo Azure Firewall, onde uma inspeção de camada 3 a 7, combinada com sinalizações de inteligência contra ameaças, identifica e interrompe qualquer conexão com domínios ou IPs associados ao Lumma. Isso impede que o malware receba comandos ou transmita dados roubados.

Há ainda iniciativas de colaboração global coordenadas pela Microsoft, em conjunto com agências como FBI, Europol e JC3 do Japão, que já resultaram em ações judiciais e desativação de cerca de 2.300 domínios usados para controle e gerenciamento do malware. Essas medidas reforçam as defesas preventivas nas camadas de rede e DNS.

Para empresas que utilizam Azure, recomenda-se enfaticamente adotar o Azure Firewall Premium, especialmente em arquitetura hub‑spoke, como camada central de proteção. A configuração deve incluir políticas de aplicação e de rede no Firewall Manager, habilitar Threat Intelligence, manter a inspeção de IDPS ativa e revisar a geração de relatórios para monitoramento de eventos bloqueados.

Somado ao Azure Firewall, é essencial implementar boas práticas como autenticação multifator, aplicação consistente de patches, uso de antimalware nos endpoints e conscientização de usuários para prevenir engenharia social, phishing ou malvertising . A proteção em múltiplas camadas — rede, endpoint e usuários — é o modelo mais eficaz contra infostealers como Lumma.

Como configurar o Azure Firewall Premium com políticas de segurança e integração com Threat Intelligence

1. Primeiramente, acesse o portal do Azure e crie um recurso do tipo Azure Firewall Premium
2. No menu “Criar firewall”, escolha a assinatura e o grupo de recursos onde ele será implantado
3. Em seguida, atribua um nome descritivo ao recurso e selecione a região
4. No tipo de firewall, escolha “Premium”. Esse nível permite inspeção profunda (camadas 3 a 7), TLS termination, filtragem DNS e suporte a IDPS
5. Para implantar corretamente, selecione uma VNet existente ou crie uma nova, assegurando-se de que haja uma subnet exclusiva chamada AzureFirewallSubnet. Se for usar uma arquitetura hub-and-spoke, implante o firewall no hub
6. Com o firewall criado, vá até a seção “Rules” e configure as regras de Application Rule Collection
7. Defina regras com base em domínios ou FQDNs (como *.microsoft.com ou domínios suspeitos a bloquear). Para ambientes que exigem controle granular, use “Network Rule Collection” para IPs, protocolos e portas específicas.
8. Em seguida, ative a Inteligência contra Ameaças
9. Vá em “Threat Intelligence” e selecione a política de ação como “Deny” para que o firewall bloqueie conexões automaticamente com domínios e IPs sinalizados como maliciosos pelo Microsoft Threat Intelligence Feed. Isso é essencial para detectar e impedir comunicação com servidores de comando e controle (C2) do Lumma Stealer
10. Agora, habilite a funcionalidade de IDPS (Intrusion Detection and Prevention System). No menu lateral do recurso do Azure Firewall, selecione “IDPS” e defina o modo de operação como “Prevention”. Isso fará com que assinaturas atualizadas automaticamente sejam usadas para inspecionar tráfego e bloquear ameaças conhecidas. Deixe habilitado o log detalhado em Log Analytics para posterior análise
11. Para gerenciamento centralizado, crie uma Firewall Policy e vincule-a ao Azure Firewall pelo Azure Firewall Manager. Isso permite replicar regras, ativar auditoria e aplicar ajustes rapidamente em múltiplos firewalls, caso sua organização utilize vários pontos de proteção
12. Por fim, vá à seção de logs e configure o envio de diagnósticos para Log Analytics, Event Hub ou Azure Storage. Isso é importante para criar alertas em tempo real, correlacionar eventos em ferramentas como Microsoft Sentinel e manter trilhas de auditoria.

Após a configuração, teste acessos controlados para validar se os bloqueios estão ativos e acompanhe periodicamente os relatórios de conexões negadas para revisar tentativas de intrusão.

Para mais: Recursos do Firewall do Azure Premium | Microsoft Learn