Attacco spray password: Cisco mette in guardia contro la botnet Brutus!

Redazione RHC : 30 Marzo 2024 20:26

Cisco ha pubblicato una serie di linee guida e messo in guardia i clienti sugli attacchi di spraying password che prendono di mira i servizi RAVPN (Remote Access VPN) configurati sui dispositivi Cisco Secure Firewall. A quanto pare, questa attività è associata alla botnet Brutus.

Cisco afferma che gli attacchi sembrano prendere di mira altri servizi VPN e fanno parte degli sforzi di intelligence da parte di aggressori sconosciuti.

Negli attacchi password spraying, gli hacker tentano di inserire la stessa password in più account nel tentativo di accedere a un sistema. Le linee guida Cisco elencano gli indicatori di compromissione (IoC) per questa attività che possono aiutarti a rilevare e bloccare gli attacchi. Ciò include, ad esempio, l’impossibilità di stabilire una connessione VPN utilizzando Cisco Secure Client (AnyConnect) quando è abilitata la posizione del firewall (HostScan).

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un altro segno di attività dannosa è un numero insolitamente elevato di richieste di autenticazione registrate nei log di sistema. Altri consigli Cisco per la protezione da questi attacchi includono:

• abilitare la registrazione su un server syslog remoto per migliorare l’analisi e tenere traccia delle relazioni tra gli incidenti;
• utilizzare TCP shun per bloccare manualmente indirizzi IP dannosi;
• impostare un ACL per filtrare gli indirizzi IP pubblici non autorizzati quando si avviano sessioni VPN;
• utilizzare l’autenticazione basata su certificato per RAVPN, che è un metodo più sicuro rispetto alle normali credenziali.

Lo specialista in sicurezza informatica Aaron Martin ritiene che questa attività e gli avvisi di Cisco siano molto probabilmente collegati a una nuova botnet, che il ricercatore ha chiamato Brutus.

Oggi Martin ha pubblicato un rapporto su Brutus, in cui descrive i metodi di attacco che lui e il suo collega Chris Grube hanno osservato dal 15 marzo 2024. Il rapporto rileva che la botnet attualmente utilizza circa 20.000 indirizzi IP in tutto il mondo, coprendo infrastrutture che vanno dai servizi cloud agli indirizzi IP residenziali.

Inizialmente gli attacchi botnet erano mirati alle soluzioni SSLVPN di Fortinet, Palo Alto, SonicWall e Cisco, ma ora si sono diffusi anche alle applicazioni web che utilizzano Active Directory per l’autenticazione.

Brutus è noto per cambiare gli indirizzi IP ogni sei tentativi per evitare il rilevamento e il blocco e utilizza anche nomi utente molto specifici che non si trovano nei dump di dati disponibili pubblicamente.

L’uso di nomi utente insoliti porta i ricercatori a ipotizzare che questi dati potrebbero essere stati ottenuti attraverso una sorta di vulnerabilità zero-day o attraverso una violazione dei dati di cui nessuno è ancora a conoscenza.

Non è chiaro chi ci sia dietro questi attacchi, ma Martin ha notato che un paio di indirizzi IP rilevati sono associati al gruppo di hacking di lingua russa APT29 (aka Midnight Blizzard, Nobelium e Cozy Bear).

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli