Storskala bruteforce angreb mod de førende VPN-tjenester er i gang

Cisco advarer her til aften mod en omfattende kampagne for brute-force angreb, der sigter mod VPN- og SSH-tjenester på Cisco, CheckPoint, Fortinet, SonicWall og Ubiquiti-enheder over hele verden.

Et brute-force angreb er processen med at forsøge at logge ind på en konto eller enhed ved at bruge mange brugernavne og adgangskoder, indtil den korrekte kombination findes.

Når de har adgang til de korrekte legitimationsoplysninger, kan trusselaktørerne derefter bruge dem til at kapre en enhed eller få adgang til det interne netværk.

Ifølge Cisco Talos anvender denne nye brute-force kampagne en blanding af gyldige og generiske medarbejderbrugernavne relateret til specifikke organisationer.

Forskerne siger, at angrebene begyndte helt tilbage til den 18. marts 2024, mens alle angreb stammer fra TOR exit-noder og forskellige andre anonymiseringsværktøjer og proxyer, som trusselaktørerne bruger til at undgå blokeringer.

“Afhængigt af målmiljøet kan vellykkede angreb af denne type føre til uautoriseret netværksadgang, kontoafbrydelser eller forhold, der afviser tjeneste,”

advares der om i Cisco Talos-rapporten.

“Trafikken relateret til disse angreb er steget over tid og vil sandsynligvis fortsætte med at stige.”

Nogle tjenester, der anvendes til at udføre angrebene, inkluderer TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy og Proxy Rack.

Ciscos forskere rapporterer, at følgende tjenester aktivt bliver målrettet af denne kampagne:

  • Cisco Secure Firewall VPN
  • Checkpoint VPN
  • Fortinet VPN
  • SonicWall VPN
  • RD Web Services
  • Mikrotik
  • Draytek
  • Ubiquiti

Den ondsindede aktivitet mangler et specifikt fokus på bestemte industrier eller regioner, hvilket antyder en bredere strategi for tilfældige, opportunistiske angreb.

Talos-teamet har delt en komplet liste over indikatorer for kompromis (IoCs) for denne aktivitet på GitHub, herunder angribernes IP-adresser til inklusion i blokeringslister og listen over brugernavne og adgangskoder, der anvendes i brute-force angrebene.

I slutningen af marts 2024 advarede Cisco om en bølge af password-sprøjtangreb, der sigtede mod fjernadgangs VPN (RAVPN) tjenester konfigureret på Cisco Secure Firewall-enheder. Derfor er der en mulig forbindelse til tidligere angreb

Password bruteforce angreb er mere effektive mod svage adgangskodepolitikker, idet de sigter mod mange brugernavne med et lille sæt almindeligt anvendte adgangskoder i stedet for brute-forcing med store ordbøger.

Sikkerhedsforsker Aaron Martin tilskrev disse angreb til et malware botnet kaldet ‘Brutus,’ baseret på de observerede angrebsmønstre og målretningens omfang.

Kilde: Cisco
Fotokredit: Cisco

Cybersikkerhed & Nyheder