Atac cibernetic masiv utilizează 2,8 milioane de IP-uri pentru a viza dispozitivele VPN

Redacţia

09.02.2025

(Pyxabai)

Redacţia

09.02.2025

Un atac de tip "forţă brută" de mare amploare, care utilizează aproape 2,8 milioane de adrese IP, are loc zilele acestea împotriva computerelor care utilizează servicii VPN, transmite Bleeping Computer.

Atacul încearcă să ghicească datele de identificare pentru o gamă largă de dispozitive de reţea, inclusiv cele de la Palo Alto Networks, Ivanti şi SonicWall.

Un atac prin forţă brută este atunci când actorii ameninţării încearcă să se conecteze în mod repetat la un cont sau la un dispozitiv folosind în mod repetat mai multe nume de utilizator şi parole până când se găseşte combinaţia corectă. Odată ce au acces la credenţialele corecte, atacatorii le pot utiliza pentru a deturna un dispozitiv sau pentru a obţine acces la o reţea.

Potrivit platformei de monitorizare a ameninţărilor The Shadowserver Foundation, un atac de forţă brută este în desfăşurare de luna trecută, folosind zilnic aproape 2,8 milioane de adrese IP sursă.

Cele mai multe dintre acestea (1,1 milioane) provin din Brazilia, urmată de Turcia, Rusia, Argentina, Maroc şi Mexic, dar în general există un număr foarte mare de ţări de origine care participă la această activitate.

Acestea sunt dispozitive de securitate de ultimă oră, cum ar fi firewall-uri, VPN-uri, gateway-uri şi alte dispozitive de securitate, adesea expuse la internet pentru a facilita accesul de la distanţă.

Dispozitivele care efectuează aceste atacuri sunt în principal routere şi IoT MikroTik, Huawei, Cisco, Boa şi ZTE, care sunt frecvent compromise de botneturi malware de mari dimensiuni.

Într-o declaraţie pentru BleepingComputer, The Shadowserver Foundation a confirmat că activitatea este în curs de desfăşurare de ceva timp, dar recent a crescut la o scară mult mai mare.

ShadowServer a mai spus că adresele IP atacatoare sunt răspândite în mai multe reţele şi sisteme autonome şi sunt probabil un botnet sau o operaţiune asociată cu reţelele proxy rezidenţiale.

Reţelele proxy rezidenţiale sunt adrese IP atribuite clienţilor consumatori ai furnizorilor de servicii internet (ISP), ceea ce le face foarte căutate pentru a fi utilizate în criminalitatea informatică, scraping, ocolirea geo-restricţiilor, verificarea anunţurilor şi multe altele.

Aceste proxy-uri direcţionează traficul de internet prin reţele rezidenţiale, făcând să pară că utilizatorul este o persoană obişnuită, şi nu un bot sau un hacker.

Printre măsurile de protecţie a dispozitivelor periferice împotriva atacurilor de tip brute-forcing se numără schimbarea parolei de administrare implicite cu una puternică şi unică, aplicarea autentificării cu mai mulţi factori (MFA), utilizarea unei liste de IP-uri de încredere şi dezactivarea interfeţelor de administrare web dacă acestea nu sunt necesare.

În cele din urmă, aplicarea celor mai recente actualizări de firmware şi de securitate pe aceste dispozitive este esenţială pentru eliminarea vulnerabilităţilor pe care actorii ameninţători le pot folosi pentru a obţine accesul iniţial.

În aprilie anul trecut, Cisco a avertizat cu privire la o campanie la scara largă de forţare brută a acreditărilor care viza dispozitivele Cisco, CheckPoint, Fortinet, SonicWall şi Ubiquiti din întreaga lume.

România are nevoie de o presă neaservită politic şi integră, care să-i asigure viitorul. Vă invităm să ne sprijiniţi prin donaţii: folosind PayPal

sau prin transfer bancar direct în contul (lei) RO56 BTRL RONC RT03 0493 9101 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale

sau prin transfer bancar direct în contul (euro) RO06 BTRL EURC RT03 0493 9101, SWIFT CODE BTRLRO22 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale

O presă independentă nu poate exista fără sprijinul cititorilor

Vreau să donez