Se está realizando un ataque de contraseña bruta a gran escala utilizando casi 2.8 millones de direcciones IP, tratando de adivinar la información de identificación para una amplia gama de dispositivos de redes, incluidos los de Palo Alto Networks, Ivanti y Sonicwall.
Un ataque de fuerza bruta es cuando los actores de amenaza intentan conectarse a una cuenta o un dispositivo que usa repetidamente muchos nombres de usuario y contraseñas hasta que se encuentre la combinación correcta. Una vez que tienen acceso a la información de identificación correcta, los interesados en amenazas pueden usarla para desviar un dispositivo o acceder a una red.
Según la plataforma de vigilancia de amenazas, la Fundación Shadowserver, se ha estado en marcha un ataque de fuerza bruta desde el mes pasado, empleando Casi 2.8 millones Las direcciones IP de origen diariamente para hacer estos ataques.
La mayoría de ellos (1.1 millones) son BrasilSeguido por Turquía, Rusia, Argentina, Marruecos y México, pero generalmente hay una gran cantidad de países de origen que participan en la actividad.
Estos son dispositivos de seguridad de borde, como firewalls, VPN, puentes y otros dispositivos de seguridad, a menudo expuestos a Internet para facilitar el acceso remoto.
Los dispositivos que lideran estos ataques son Especialmente mikrotikLos enrutadores Huawei, Cisco, Boa y ZTE e IoT, que generalmente están comprometidos por grandes botas de malware.
En una declaración a BleepingCompute, la Fundación Shadowserver confirmó que la actividad ha estado en marcha durante algún tiempo, pero recientemente aumentó a una escala mucho mayor.
Shadowserver también ha dicho que las direcciones IP ofensivas se distribuyen en muchas redes y sistemas autónomos y son probablemente una botnet o una operación asociada con redes proxy residenciales.
Los proxies residenciales son direcciones IP asignadas a clientes de los consumidores de proveedores de servicios de Internet (ISP), lo que los hace muy buscados en uso en cibercrimen, rascado, geo-redición derivado
Estos proxy están transportando tráfico de Internet a través de redes residenciales, lo que revela que el usuario es un usuario doméstico regular en lugar de un bot, un raspador de datos o un pirata.
Los dispositivos Passerelle como estos atacados por esta actividad podrían usarse como nodos de producción de proxy en operaciones de representación residencial, comprando tráfico malicioso a través de la red comercial de una organización.
Estos nodos se consideran “de alta calidad” porque las organizaciones tienen una buena reputación, y los ataques son más difíciles de detectar y detener.
Los pasos para proteger los periféricos de borde de los ataques de forzamiento bruto incluyen la modificación de la contraseña de administración predeterminada en una contraseña sólida y única, aplicando la autenticación de múltiples factores (MFA), utilizando una lista de IPS Lista D ‘Trust y desactivando las interfaces de administración web si son no necesario.
Al final, la aplicación de las últimas actualizaciones de firmware y seguridad a estos dispositivos es crucial para eliminar las vulnerabilidades que los actores amenazaron pueden explotar para obtener el acceso inicial.
En abril pasado, Cisco advirtió contra una gran campaña de forzamiento bruto a gran escala dirigida a Cisco, Checkpoint, Fortinet, Sonicwall y dispositivos ubiquitíes en todo el mundo.
En diciembre, Citrix también advirtió sobre los ataques de pulverización de contraseña dirigidos a los dispositivos World de Citrix Netscaller.