Sandro Sana : 3 Aprile 2024 14:12
Recentemente abbiamo parlato di una aggressiva campagna di forza bruta ha colpito milioni di server VPN, sfruttando nomi utente sconosciuti e cambiando indirizzi IP. Oggi vogliamo parlare di Brutus e comprenderne meglio il suo funzionamento.
Brutus è il nome di un nuovo botnet, ovvero una rete di dispositivi infettati da un malware che li controlla a distanza, che ha lanciato una massiccia campagna di attacchi ai dispositivi VPN (Virtual Private Network) in tutto il mondo.
Un dispositivo VPN è un server che permette di creare una connessione sicura e criptata tra due reti, ad esempio tra il computer di casa e quello dell’ufficio. Questa tecnologia è molto usata dalle aziende e dalle organizzazioni per proteggere i loro dati e le loro comunicazioni.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Brutus sfrutta una tecnica chiamata forza bruta, che consiste nel provare ripetutamente diverse combinazioni di nome utente e password per accedere a un dispositivo VPN. Questo tipo di attacco richiede molta potenza di calcolo e tempo, ma può essere efficace se il dispositivo VPN ha delle credenziali deboli o predefinite.
Secondo il ricercatore Aaron Martin, che ha scoperto il botnet, Brutus ha iniziato la sua campagna il 15 marzo e ha eseguito decine di milioni di richieste di forza bruta ogni giorno, mirando a diversi fornitori di dispositivi VPN, come Cisco, Fortinet, Sonicwall e Palo Alto.
Brutus si distingue per alcune caratteristiche che lo rendono particolarmente pericoloso e difficile da contrastare. Innanzitutto, il botnet è indiscriminato e non mira a un solo fornitore o a un solo tipo di dispositivo VPN, ma a tutti quelli che trova sulla sua strada. Inoltre, il botnet utilizza 20.000 indirizzi IP in tutto il mondo, coprendo varie infrastrutture, dai servizi cloud agli indirizzi IP domestici. Questo significa che il botnet può cambiare rapidamente i suoi indirizzi IP per eludere la rilevazione e il blocco da parte dei sistemi di sicurezza. Infatti, Brutus cambia i suoi indirizzi IP ogni sei tentativi, rendendo inefficaci le soluzioni basate sul blocco degli IP.
Un’altra caratteristica di Brutus è che utilizza nomi utente molto specifici e precedentemente non divulgati, che non sono presenti nei dump di dati pubblici. Questo solleva preoccupazioni su come siano stati ottenuti e potrebbe indicare una violazione non divulgata o uno sfruttamento 0-day, ovvero un attacco basato su una vulnerabilità non nota al pubblico e al fornitore del dispositivo VPN. Infine, Brutus non si limita a mirare ai dispositivi VPN, ma anche alle applicazioni web che utilizzano Active Directory per l’autenticazione. Active Directory è un servizio di Microsoft che gestisce le identità e le autorizzazioni degli utenti in una rete.
Gli attacchi di Brutus potrebbero avere gravi conseguenze per la sicurezza e la privacy delle aziende e delle organizzazioni che utilizzano i dispositivi VPN. Se un attaccante riesce a entrare in un dispositivo VPN, potrebbe accedere a tutte le informazioni e le comunicazioni che transitano attraverso la connessione sicura, rubare dati sensibili, installare altri malware, effettuare attacchi di tipo man-in-the-middle o denial-of-service. Inoltre, potrebbe utilizzare il dispositivo VPN infetto come punto di partenza per attaccare altre reti o dispositivi collegati.
Per difendersi da Brutus, i fornitori di dispositivi VPN hanno condiviso alcune raccomandazioni per i loro clienti. Tra queste, ci sono l’uso di credenziali forti e uniche, l’abilitazione di un fattore di autenticazione aggiuntivo, la limitazione degli accessi da indirizzi IP o reti fidate, l’aggiornamento dei dispositivi VPN alle ultime versioni di sicurezza, il monitoraggio delle attività sospette e il blocco delle richieste di forza bruta. Inoltre, è consigliabile utilizzare soluzioni di sicurezza avanzate che possano rilevare e prevenire gli attacchi di Brutus, basandosi non solo sugli indirizzi IP, ma anche su altri indicatori di compromissione, come quelli elencati nella guida di mitigazione delle conseguenze di Cisco.
Al momento, non è stato possibile attribuire la minaccia di Brutus a un gruppo o a un attore specifico. Sono solo ipotesi, basate sulle caratteristiche e sulle modalità degli attacchi. Alcuni esperti ritengono che Brutus sia opera di un gruppo di cybercriminali che cerca di sfruttare le vulnerabilità dei dispositivi VPN per ottenere accesso a reti sensibili e rubare dati di valore.
Altri ipotizzano che Brutus sia una campagna di spionaggio sponsorizzata da uno stato, che mira a raccogliere informazioni strategiche e a compromettere le infrastrutture critiche. In entrambi i casi, Brutus rappresenta una minaccia seria e in continua evoluzione, che richiede una risposta coordinata e tempestiva da parte dei fornitori, dei clienti e delle autorità competenti.
Sandro SanaAnalisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...
Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...
Una nuova e insidiosa campagna di phishing sta colpendo i cittadini lombardi. I truffatori inviano e-mail che sembrano provenire da una presunta agenzia di recupero crediti, chiedendo il pagamento di ...
Capire davvero cos’è il ransomware non è semplice: tra notizie frammentate e articoli tecnici, chi cerca risposte rischia di perdersi in un mare di informazioni confuse. Questo articolo nasce per ...
Hai sempre pensato che il Dark Web sia frequentato dai criminali informatici? Hai sempre pensato che il Dark Web sia una rete pericolosa e piena di insidie? Oggi vogliamo sfatare questo mito e creare ...
