A Cisco emitiu um alerta sobre uma campanha significativa de força bruta destinada a comprometer serviços VPN e SSH em dispositivos de vários fabricantes importantes, incluindo a própria Cisco, CheckPoint, Fortinet, SonicWall e Ubiquiti. A campanha, identificada por A equipe de pesquisa de segurança da Cisco, Cisco Talos, emprega uma estratégia de tentar múltiplas combinações de nome de usuário e senha para obter acesso não autorizado a dispositivos e redes internas. Os invasores estão aproveitando uma combinação de credenciais de funcionários válidas e genéricas, adaptadas a organizações específicas.
Metodologia e impacto do ataque
Os ataques de força bruta, que começaram em 18 de março de 2024, originam-se principalmente de nós de saída TOR, juntamente com várias ferramentas e proxies de anonimato. Esses métodos são usados estrategicamente pelos invasores para contornar os esforços de bloqueio das organizações visadas. Os ataques têm o potencial de levar a vários resultados adversos, incluindo acesso não autorizado à rede, bloqueios de contas e até condições de negação de serviço. A variedade de serviços usados para esses ataques inclui TOR, VPN Gate, IPIDEA Proxy, entre outros, indicando uma operação sofisticada e com bons recursos.
Os serviços visados nesta campanha são essenciais para a infraestrutura de segurança de inúmeras organizações e incluem o Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN e vários outros. A natureza indiscriminada destes ataques, sem um foco específico em qualquer indústria ou região, sugere uma abordagem ampla e oportunista por parte dos atacantes, com o objetivo de explorar quaisquer vulnerabilidades encontradas nestes serviços amplamente utilizados.
Indicadores de compromisso e contexto histórico
O Cisco Talos disponibilizou uma lista abrangente de indicadores de comprometimento (IoCs) no GitHub, que inclui endereços IP e nomes de usuário e senhas específicos usados nos ataques de força bruta. Este recurso tem como objetivo ajudar as organizações a melhorar suas medidas de segurança contra essa ameaça contínua.
A campanha atual tem semelhanças com ataques anteriores, incluindo uma onda de ataques de pulverização de senhas direcionados a serviços VPN de acesso remoto relatados pela Cisco no final Março de 2024. O pesquisador de segurança Aaron Martin vinculou esses ataques anteriores a uma botnet de malware conhecida como ‘Brutus’, com base em semelhanças nos padrões e alvos de ataque. Embora ainda não esteja confirmado se a atual campanha de força bruta está diretamente ligada a estes incidentes anteriores, o direcionamento consistente dos serviços VPN e SSH sublinha um cenário de ameaças persistente.