Cisco alerta sobre uma campanha de ataque de força bruta de grande escala visando serviços VPN e SSH em dispositivos Cisco, CheckPoint, Fortinet, SonicWall e Ubiquiti em todo o mundo.
Um ataque de força bruta é o processo de tentar fazer login em uma conta ou dispositivo usando vários nomes de usuário e senhas até que a combinação correta seja encontrada. Depois de terem acesso às credenciais corretas, os hackers podem usá-las para sequestrar um dispositivo ou obter acesso à rede interna.
De acordo com Cisco Talos, esta nova campanha de força bruta utiliza uma combinação de nomes de usuário válidos e genéricos de funcionários relacionados a organizações específicas.
Os pesquisadores dizem que os ataques começaram em 18 de março de 2024, enquanto todos os ataques se originam de nós de saída TOR e de várias outras ferramentas e proxy anonimos, que os hackers usam para evitar bloqueios.
“Dependendo do ambiente alvo, ataques bem-sucedidos deste tipo podem levar a acesso não autorizado à rede, bloqueios de contas ou condições de negação de serviço”, alerta o relatório Cisco Talos.
“O tráfego relacionado a esses ataques aumentou com o tempo e provavelmente continuará a aumentar”.
Alguns serviços usados para conduzir os ataques incluem TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy e Proxy Rack.
Os pesquisadores da Cisco relatam que os seguintes serviços são os alvos de maior destaque:
VPN de firewall seguro Cisco
VPN de ponto de verificação
VPN Fortinet
VPN Sonic Wall
Serviços Web de RD
Miktrotik
Draytek
Ubiquiti
A atividade maliciosa não tem um foco específico em indústrias ou regiões específicas, sugerindo uma estratégia mais ampla de ataques aleatórios e oportunistas.
A equipe do Talos compartilhou uma lista completa de indicadores de comprometimento (IoCs) para esta atividade no GitHub, incluindo os endereços IP dos invasores para inclusão em listas de bloqueio e a lista de nomes de usuários e senhas usados nos ataques de força bruta.
No final de março de 2024, a Cisco alertou sobre uma onda de ataques de pulverização de senhas direcionados a serviços VPN de acesso remoto (RAVPN) configurados em dispositivos Cisco Secure Firewall.
Os ataques de pulverização de senhas são mais eficazes contra políticas de senhas fracas, visando muitos nomes de usuário com um pequeno conjunto de senhas comumente usadas, em vez de força bruta em um grande dicionário.
O pesquisador de segurança Aaron Martin atribuiu esses ataques a um botnet de malware chamado ‘Brutus’, com base nos padrões de ataque observados e no escopo de segmentação.
Ainda não foi verificado se os ataques sobre os quais a Cisco está alertando hoje são a continuação daqueles vistos anteriormente.
Via - Bleeping Computer
Comments