A Cisco compartilhou um conjunto de recomendações para os clientes mitigarem ataques de pulverização de senhas que têm como alvo serviços de VPN de Acesso Remoto (RAVPN) configurados em dispositivos Cisco Secure Firewall.
A empresa afirma que os ataques também têm visado outros serviços de VPN de acesso remoto e parecem fazer parte de uma atividade de reconhecimento.
Durante um ataque de pulverização de senha, um adversário tenta a mesma senha com múltiplas contas na tentativa de se logar.
O guia de mitigação da Cisco lista indicadores de comprometimento (IoCs) para essa atividade a fim de ajudar a detectar os ataques e bloqueá-los.
Isso inclui a incapacidade de estabelecer conexões VPN com o Cisco Secure Client (AnyConnect) quando o Firewall Posture (HostScan) está ativado.
Outro sinal é uma quantidade incomum de solicitações de autenticação registradas pelos logs do sistema.
As recomendações da Cisco para se defender contra esses ataques incluem:
Ativação de logs para um servidor syslog remoto para melhorar a análise de incidentes e correlação.
Segurança dos perfis de acesso remoto VPN padrão apontando perfis de conexão padrão não utilizados para um servidor AAA sinkhole para prevenir o acesso não autorizado.
Utilização do TCP shun para bloquear manualmente IPs maliciosos.
Configuração de ACLs do plano de controle para filtrar endereços IP públicos não autorizados a iniciar sessões VPN.
Uso da autenticação baseada em certificado para RAVPN, que fornece um método de autenticação mais seguro do que as credenciais tradicionais.
O pesquisador de segurança Aaron Martin disse ao BleepingComputer que a atividade observada pela Cisco provavelmente vem de uma botnet de malware não documentada que ele nomeou 'Brutus'.
A conexão é baseada no escopo de segmentação específico e nos padrões de ataque.
Martin publicou um relatório sobre a botnet Brutus descrevendo os métodos de ataque incomuns que ele e o analista Chris Grube observaram desde 15 de março.
O relatório observa que a botnet atualmente depende de 20.000 endereços IP em todo o mundo, abrangendo várias infraestruturas, desde serviços em nuvem até IPs residenciais.
Os ataques que Martin observou inicialmente tinham como alvo aparelhos SSLVPN da Fortinet, Palo Alto, SonicWall e Cisco, mas agora se expandiram para incluir também aplicativos web que usam Active Directory para autenticação.
Brutus roda seus IPs a cada seis tentativas para evitar detecção e bloqueio, enquanto utiliza nomes de usuário muito específicos e não divulgados que não estão disponíveis em dumps de dados públicos.
Este aspecto dos ataques levanta preocupações sobre como esses nomes de usuário foram obtidos e pode indicar uma violação não divulgada ou exploração de uma vulnerabilidade zero-day.
Embora os operadores de Brutus sejam desconhecidos, Martin identificou dois IPs que foram associados a atividades passadas do APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear), um grupo de ameaça de espionagem acredita-se que trabalhe para o Serviço de Inteligência Estrangeira da Rússia (SVR).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...