Hackers Lançam Ataques Globais com Milhões de Tentativas de Invasão em Redes
23 de Abril de 2024

A equipe de cibersegurança da Cisco, chamada Talos, emitiu um alerta sobre ataques hacker que tentam, em larga escala, comprometer credenciais, visando indiscriminadamente redes ao redor do mundo com tentativas de login para obter acesso não autorizado a VPNs, SSHs e contas de aplicativos na web.

Os ataques teriam iniciado por volta do dia 18 de março, com o alerta do Talos sendo divulgado semanas após a Cisco advertir sobre uma campanha de ataque hacker semelhante.

A empresa descreveu os incidentes como um "spray de senha" dirigido às VPNs de acesso remoto, tanto da própria Cisco quanto de terceiros, ligadas a firewalls da companhia.

De acordo com a Cisco, essa campanha estaria ligada a esforços de reconhecimento digital.

Os ataques foram organizados com centenas de milhares, ou até milhões, de tentativas de autenticação fracassadas.

A Cisco reportou que os usuários podem receber, esporadicamente, a mensagem de erro: “Não foi possível completar a conexão. Cisco Secure Desktop não instalado no cliente.” As tentativas frustradas de login, que resultaram nessa mensagem, não conseguiram conectar à VPN.

A companhia também notificou "sintomas de falhas na alocação de token hotscan".

Um representante da Cisco afirmou que, embora não haja evidências diretas que conectem as duas séries de tentativas ao mesmo agente, existem similaridades técnicas na execução dos ataques e na infraestrutura usada pelos atacantes.

O Talos também destacou que os serviços visados na campanha de ataque incluem, entre outros:

- VPN de firewall seguro Cisco;
- VPN de Check Point;
- VPN Fortinet;
- VPN Sonic Wall;
- Serviços Web RD;
- Mikrotik;
- Draytek;
- Ubiquiti.

Além disso, os IP de anonimato pareciam estar associados a serviços como:

- Termos de Referência;
- Portão VPN;
- Proxy IPIDEA;
- Proxy BigMama;
- Proxies Espaciais;
- Proxy Nexus;
- Rack de proxy.

A Cisco já bloqueou os IPs em questão em sua oferta de VPN e aconselha outras organizações a fazerem o mesmo com quaisquer VPNs de terceiros em uso.

No link disponível no comunicado, é possível encontrar a lista completa de indicadores de comprometimento relacionados ao ataque.

A Cisco também fornece várias recomendações para gestores de TI e usuários para prevenir o sucesso desses ataques, incluindo:

- Habilitar login detalhado, idealmente para um servidor syslog remoto, permitindo que os administradores identifiquem e correlacionem ataques em diferentes pontos da rede;
- Proteger contas de acesso remoto padrão, aplicando sinkholing, a menos que utilizem os perfis DefaultRAGroup e DefaultWEBVPNGroup;
- Bloquear tentativas de conexão de fontes mal-intencionadas já conhecidas;
- Implementar listas de controle de acesso tanto no nível da interface quanto no plano de controle, para filtrar IP públicos não autorizados e negar inícios de sessões VPN remotas não autorizadas;
- Utilizar autenticação baseada em certificado para VPNs de acesso remoto.

Para mais recomendações da Cisco sobre como fortalecer as VPNs, pode-se consultar o link fornecido pela empresa.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...