A operação de ransomware Black Basta criou uma estrutura automatizada de brute-forcing chamada 'BRUTED' para invadir dispositivos de rede de borda, como firewalls e VPNs.
Essa estrutura permitiu ao Black Basta otimizar o acesso inicial à rede e escalar ataques de ransomware em endpoints expostos à internet vulneráveis.
A descoberta do BRUTED foi feita pelo pesquisador Arda Büyükkaya, da EclecticIQ, após um exame aprofundado dos logs de chat internos vazados do grupo de ransomware.
Vários relatos de ataques de brute-forcing em larga escala e password spray contra esses dispositivos ao longo de 2024 foram registrados, alguns dos quais podem estar ligados ao BRUTED ou operações de origem semelhante.
Büyükkaya diz que o Black Basta tem usado a plataforma automatizada BRUTED desde 2023 para conduzir ataques de credential-stuffing e brute-force em larga escala em dispositivos de rede de borda.
A análise do código-fonte indica que o framework foi especificamente projetado para fazer brute-force de credenciais nos seguintes produtos de VPN e acesso remoto: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) e WatchGuard SSL VPN.
O framework procura por dispositivos de rede de borda publicamente acessíveis que correspondam à lista de alvos, enumerando subdomínios, resolvendo endereços IP e adicionando prefixos como '.vpn' ou 'remote'.
As correspondências são reportadas de volta ao servidor de comando e controle (C2).
Uma vez identificados possíveis alvos, o BRUTED recupera candidatos a senha de um servidor remoto e os combina com palpites gerados localmente para executar muitas solicitações de autenticação por meio de múltiplos processos de CPU.
Büyükkaya compartilhou o código-fonte, que mostra como a ferramenta utiliza headers de solicitação específicos e user agents para cada dispositivo alvo nos ataques de brute force.
O relatório da EclecticIQ diz que o BRUTED pode extrair o Common Name (CN) e Subject Alternative Names (SAN) dos certificados SSL dos dispositivos alvo, o que ajuda a gerar palpites adicionais de senha baseados no domínio e nas convenções de nomenclatura do alvo.
Para evitar a detecção, o framework usa uma lista de proxies SOCKS5 com um nome de domínio interessante que esconde a infraestrutura do atacante por trás de uma camada intermediária.
Sua infraestrutura principal compreende vários servidores na Rússia e está registrada sob o Proton66 (AS 198953).
Logs de chat vazados também revelaram discussões internas sobre inatividade do servidor devido a taxas não pagas, que depois foram renovadas, fornecendo uma visão do dia-a-dia das operações que as gangues de ransomware têm que lidar.
Ferramentas como o BRUTED agilizam as operações de ransomware ao invadir muitas redes de uma vez com mínimo esforço, aumentando as oportunidades de monetização para os atores de ameaças.
Uma estratégia de defesa chave é impor senhas fortes e únicas para todos os dispositivos de borda e contas de VPN e usar autenticação de múltiplos fatores (MFA) para bloquear o acesso mesmo quando as credenciais estiverem comprometidas.
Também é crucial monitorar tentativas de autenticação de localizações desconhecidas e falhas de login em alto volume, além de implementar políticas de limitação de taxa e bloqueio de contas.
A EclecticIQ compartilhou uma lista de IPs e domínios usados pelo BRUTED que podem ser usados para criar novas regras de firewall que bloqueiem solicitações de infraestrutura maliciosa conhecida.
Enquanto o BRUTED não explora nenhuma vulnerabilidade para invadir dispositivos de borda de rede, ainda é crucial manter esses dispositivos atualizados, aplicando as últimas atualizações de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...