A Cisco alerta sobre uma campanha de brute force em larga escala visando serviços de VPN e SSH em dispositivos da Cisco, CheckPoint, Fortinet, SonicWall e Ubiquiti em todo o mundo.
Um ataque de brute force é o processo de tentar fazer login em uma conta ou dispositivo usando muitos nomes de usuário e senhas até encontrar a combinação correta.
Uma vez que tenham acesso às credenciais corretas, os atores de ameaça podem então usá-las para sequestrar um dispositivo ou ganhar acesso à rede interna.
De acordo com a Cisco Talos, essa nova campanha de brute force utiliza uma mistura de nomes de usuário de funcionários válidos e genéricos relacionados a organizações específicas.
Os pesquisadores dizem que os ataques começaram em 18 de março de 2024, enquanto todos os ataques são originados de nós de saída da TOR e várias outras ferramentas de anonimização e proxies, que os atores de ameaça usam para evitar bloqueios.
"Dependendo do ambiente-alvo, ataques bem-sucedidos desse tipo podem levar a acesso à rede não autorizado, bloqueios de conta ou condições de negação de serviço," alerta o relatório da Cisco Talos.
"O tráfego relacionado a esses ataques aumentou com o tempo e provavelmente continuará a crescer."
Alguns serviços usados para conduzir os ataques incluem TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy e Proxy Rack.
Os pesquisadores da Cisco relatam que os seguintes serviços estão sendo ativamente visados por esta campanha:
Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti
A atividade maliciosa não apresenta um foco específico em indústrias ou regiões particulares, sugerindo uma estratégia mais ampla de ataques aleatórios e oportunistas.
A equipe da Talos compartilhou uma lista completa de indicadores de comprometimento (IoCs) para essa atividade no GitHub, incluindo os endereços IP dos atacantes para inclusão em blocklists e a lista de nomes de usuário e senhas usados nos ataques de brute force.
No final de março de 2024, a Cisco alertou sobre uma onda de ataques de password spraying visando serviços RAVPN (Remote Access VPN) configurados em dispositivos Cisco Secure Firewall.
Ataques de password spraying são mais eficazes contra políticas de senha fracas, visando muitos nomes de usuário com um pequeno conjunto de senhas comumente usadas em vez de brute-forcing com dicionário extenso.
O pesquisador de segurança Aaron Martin atribuiu esses ataques a uma botnet de malware chamada 'Brutus', baseado nos padrões de ataque observados e no escopo do alvo.
Ainda não foi verificado se os ataques sobre os quais a Cisco está alertando hoje são a continuação dos vistos anteriormente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...