Sandro Sana : 3 Aprile 2024 14:12
Recentemente abbiamo parlato di una aggressiva campagna di forza bruta ha colpito milioni di server VPN, sfruttando nomi utente sconosciuti e cambiando indirizzi IP. Oggi vogliamo parlare di Brutus e comprenderne meglio il suo funzionamento.
Brutus è il nome di un nuovo botnet, ovvero una rete di dispositivi infettati da un malware che li controlla a distanza, che ha lanciato una massiccia campagna di attacchi ai dispositivi VPN (Virtual Private Network) in tutto il mondo.
Un dispositivo VPN è un server che permette di creare una connessione sicura e criptata tra due reti, ad esempio tra il computer di casa e quello dell’ufficio. Questa tecnologia è molto usata dalle aziende e dalle organizzazioni per proteggere i loro dati e le loro comunicazioni.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Brutus sfrutta una tecnica chiamata forza bruta, che consiste nel provare ripetutamente diverse combinazioni di nome utente e password per accedere a un dispositivo VPN. Questo tipo di attacco richiede molta potenza di calcolo e tempo, ma può essere efficace se il dispositivo VPN ha delle credenziali deboli o predefinite.
Secondo il ricercatore Aaron Martin, che ha scoperto il botnet, Brutus ha iniziato la sua campagna il 15 marzo e ha eseguito decine di milioni di richieste di forza bruta ogni giorno, mirando a diversi fornitori di dispositivi VPN, come Cisco, Fortinet, Sonicwall e Palo Alto.
Brutus si distingue per alcune caratteristiche che lo rendono particolarmente pericoloso e difficile da contrastare. Innanzitutto, il botnet è indiscriminato e non mira a un solo fornitore o a un solo tipo di dispositivo VPN, ma a tutti quelli che trova sulla sua strada. Inoltre, il botnet utilizza 20.000 indirizzi IP in tutto il mondo, coprendo varie infrastrutture, dai servizi cloud agli indirizzi IP domestici. Questo significa che il botnet può cambiare rapidamente i suoi indirizzi IP per eludere la rilevazione e il blocco da parte dei sistemi di sicurezza. Infatti, Brutus cambia i suoi indirizzi IP ogni sei tentativi, rendendo inefficaci le soluzioni basate sul blocco degli IP.
Un’altra caratteristica di Brutus è che utilizza nomi utente molto specifici e precedentemente non divulgati, che non sono presenti nei dump di dati pubblici. Questo solleva preoccupazioni su come siano stati ottenuti e potrebbe indicare una violazione non divulgata o uno sfruttamento 0-day, ovvero un attacco basato su una vulnerabilità non nota al pubblico e al fornitore del dispositivo VPN. Infine, Brutus non si limita a mirare ai dispositivi VPN, ma anche alle applicazioni web che utilizzano Active Directory per l’autenticazione. Active Directory è un servizio di Microsoft che gestisce le identità e le autorizzazioni degli utenti in una rete.
Gli attacchi di Brutus potrebbero avere gravi conseguenze per la sicurezza e la privacy delle aziende e delle organizzazioni che utilizzano i dispositivi VPN. Se un attaccante riesce a entrare in un dispositivo VPN, potrebbe accedere a tutte le informazioni e le comunicazioni che transitano attraverso la connessione sicura, rubare dati sensibili, installare altri malware, effettuare attacchi di tipo man-in-the-middle o denial-of-service. Inoltre, potrebbe utilizzare il dispositivo VPN infetto come punto di partenza per attaccare altre reti o dispositivi collegati.
Per difendersi da Brutus, i fornitori di dispositivi VPN hanno condiviso alcune raccomandazioni per i loro clienti. Tra queste, ci sono l’uso di credenziali forti e uniche, l’abilitazione di un fattore di autenticazione aggiuntivo, la limitazione degli accessi da indirizzi IP o reti fidate, l’aggiornamento dei dispositivi VPN alle ultime versioni di sicurezza, il monitoraggio delle attività sospette e il blocco delle richieste di forza bruta. Inoltre, è consigliabile utilizzare soluzioni di sicurezza avanzate che possano rilevare e prevenire gli attacchi di Brutus, basandosi non solo sugli indirizzi IP, ma anche su altri indicatori di compromissione, come quelli elencati nella guida di mitigazione delle conseguenze di Cisco.
Al momento, non è stato possibile attribuire la minaccia di Brutus a un gruppo o a un attore specifico. Sono solo ipotesi, basate sulle caratteristiche e sulle modalità degli attacchi. Alcuni esperti ritengono che Brutus sia opera di un gruppo di cybercriminali che cerca di sfruttare le vulnerabilità dei dispositivi VPN per ottenere accesso a reti sensibili e rubare dati di valore.
Altri ipotizzano che Brutus sia una campagna di spionaggio sponsorizzata da uno stato, che mira a raccogliere informazioni strategiche e a compromettere le infrastrutture critiche. In entrambi i casi, Brutus rappresenta una minaccia seria e in continua evoluzione, che richiede una risposta coordinata e tempestiva da parte dei fornitori, dei clienti e delle autorità competenti.
Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...
Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006