A Cisco emitiu um alerta preocupante sobre uma série de ataques em grande escala empregando força bruta contra serviços VPN.
Essa tática envolve tentativas repetidas de acesso utilizando diversas combinações de nomes de usuário e senhas até que se encontre a correta. Com acesso às credenciais apropriadas, os invasores podem comprometer dispositivos ou obter acesso à rede.
De acordo com o relatório do Cisco Talos, essa nova campanha de força bruta começou em 18 de março de 2024 e utiliza uma mistura de nomes de usuário válidos e genéricos relacionados a funcionários de organizações específicas. Os ataques, originários de ferramentas e proxies de anonimato, como nós de saída TOR e diversas outras, visam escapar das medidas de bloqueio.
Os serviços usados para esses ataques incluem TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy e Proxy Rack. As VPNs de firewall seguro Cisco, de ponto de verificação, Fortinet, Sonic Wall, os Serviços Web de RD, Miktrotik, Draytek e Ubiquiti estão entre os alvos ativos identificados.
Essa atividade maliciosa parece não ter um foco específico em indústrias ou regiões particulares, indicando uma estratégia mais ampla de ataques aleatórios e oportunistas.
A equipe da Cisco disponibilizou uma lista completa de Indicadores de Comprometimento (IoCs) para essa atividade no GitHub, incluindo endereços IP dos invasores e uma lista de nomes de usuários e senhas usados nos ataques de força bruta.
Esses recentes alertas se somam às preocupações anteriores sobre ataques de pulverização de senhas, que visam serviços VPN de acesso remoto (RAVPN) configurados em dispositivos Cisco Secure Firewall.
A análise sugere que esses ataques podem estar relacionados a um botnet de malware denominado 'Brutus', embora ainda não esteja confirmada qualquer conexão direta com os ataques recentes.
SAIBA MAIS!
