Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Sandro Sana : 3 Aprile 2024 14:12
Recentemente abbiamo parlato di una aggressiva campagna di forza bruta ha colpito milioni di server VPN, sfruttando nomi utente sconosciuti e cambiando indirizzi IP. Oggi vogliamo parlare di Brutus e comprenderne meglio il suo funzionamento.
Brutus è il nome di un nuovo botnet, ovvero una rete di dispositivi infettati da un malware che li controlla a distanza, che ha lanciato una massiccia campagna di attacchi ai dispositivi VPN (Virtual Private Network) in tutto il mondo.
Un dispositivo VPN è un server che permette di creare una connessione sicura e criptata tra due reti, ad esempio tra il computer di casa e quello dell’ufficio. Questa tecnologia è molto usata dalle aziende e dalle organizzazioni per proteggere i loro dati e le loro comunicazioni.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Brutus sfrutta una tecnica chiamata forza bruta, che consiste nel provare ripetutamente diverse combinazioni di nome utente e password per accedere a un dispositivo VPN. Questo tipo di attacco richiede molta potenza di calcolo e tempo, ma può essere efficace se il dispositivo VPN ha delle credenziali deboli o predefinite.
Secondo il ricercatore Aaron Martin, che ha scoperto il botnet, Brutus ha iniziato la sua campagna il 15 marzo e ha eseguito decine di milioni di richieste di forza bruta ogni giorno, mirando a diversi fornitori di dispositivi VPN, come Cisco, Fortinet, Sonicwall e Palo Alto.
Brutus si distingue per alcune caratteristiche che lo rendono particolarmente pericoloso e difficile da contrastare. Innanzitutto, il botnet è indiscriminato e non mira a un solo fornitore o a un solo tipo di dispositivo VPN, ma a tutti quelli che trova sulla sua strada. Inoltre, il botnet utilizza 20.000 indirizzi IP in tutto il mondo, coprendo varie infrastrutture, dai servizi cloud agli indirizzi IP domestici. Questo significa che il botnet può cambiare rapidamente i suoi indirizzi IP per eludere la rilevazione e il blocco da parte dei sistemi di sicurezza. Infatti, Brutus cambia i suoi indirizzi IP ogni sei tentativi, rendendo inefficaci le soluzioni basate sul blocco degli IP.
Un’altra caratteristica di Brutus è che utilizza nomi utente molto specifici e precedentemente non divulgati, che non sono presenti nei dump di dati pubblici. Questo solleva preoccupazioni su come siano stati ottenuti e potrebbe indicare una violazione non divulgata o uno sfruttamento 0-day, ovvero un attacco basato su una vulnerabilità non nota al pubblico e al fornitore del dispositivo VPN. Infine, Brutus non si limita a mirare ai dispositivi VPN, ma anche alle applicazioni web che utilizzano Active Directory per l’autenticazione. Active Directory è un servizio di Microsoft che gestisce le identità e le autorizzazioni degli utenti in una rete.
Gli attacchi di Brutus potrebbero avere gravi conseguenze per la sicurezza e la privacy delle aziende e delle organizzazioni che utilizzano i dispositivi VPN. Se un attaccante riesce a entrare in un dispositivo VPN, potrebbe accedere a tutte le informazioni e le comunicazioni che transitano attraverso la connessione sicura, rubare dati sensibili, installare altri malware, effettuare attacchi di tipo man-in-the-middle o denial-of-service. Inoltre, potrebbe utilizzare il dispositivo VPN infetto come punto di partenza per attaccare altre reti o dispositivi collegati.
Per difendersi da Brutus, i fornitori di dispositivi VPN hanno condiviso alcune raccomandazioni per i loro clienti. Tra queste, ci sono l’uso di credenziali forti e uniche, l’abilitazione di un fattore di autenticazione aggiuntivo, la limitazione degli accessi da indirizzi IP o reti fidate, l’aggiornamento dei dispositivi VPN alle ultime versioni di sicurezza, il monitoraggio delle attività sospette e il blocco delle richieste di forza bruta. Inoltre, è consigliabile utilizzare soluzioni di sicurezza avanzate che possano rilevare e prevenire gli attacchi di Brutus, basandosi non solo sugli indirizzi IP, ma anche su altri indicatori di compromissione, come quelli elencati nella guida di mitigazione delle conseguenze di Cisco.
Al momento, non è stato possibile attribuire la minaccia di Brutus a un gruppo o a un attore specifico. Sono solo ipotesi, basate sulle caratteristiche e sulle modalità degli attacchi. Alcuni esperti ritengono che Brutus sia opera di un gruppo di cybercriminali che cerca di sfruttare le vulnerabilità dei dispositivi VPN per ottenere accesso a reti sensibili e rubare dati di valore.
Altri ipotizzano che Brutus sia una campagna di spionaggio sponsorizzata da uno stato, che mira a raccogliere informazioni strategiche e a compromettere le infrastrutture critiche. In entrambi i casi, Brutus rappresenta una minaccia seria e in continua evoluzione, che richiede una risposta coordinata e tempestiva da parte dei fornitori, dei clienti e delle autorità competenti.
Sandro SanaNegli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
