La nuova botnet Brutus mira ai dispositivi VPN in tutto il mondo

Sandro Sana : 3 Aprile 2024 14:12

Recentemente abbiamo parlato di una aggressiva campagna di forza bruta ha colpito milioni di server VPN, sfruttando nomi utente sconosciuti e cambiando indirizzi IP. Oggi vogliamo parlare di Brutus e comprenderne meglio il suo funzionamento.

Cos’è Brutus e come funziona

Brutus è il nome di un nuovo botnet, ovvero una rete di dispositivi infettati da un malware che li controlla a distanza, che ha lanciato una massiccia campagna di attacchi ai dispositivi VPN (Virtual Private Network) in tutto il mondo.

Un dispositivo VPN è un server che permette di creare una connessione sicura e criptata tra due reti, ad esempio tra il computer di casa e quello dell’ufficio. Questa tecnologia è molto usata dalle aziende e dalle organizzazioni per proteggere i loro dati e le loro comunicazioni.

Le caratteristiche di Brutus

Brutus sfrutta una tecnica chiamata forza bruta, che consiste nel provare ripetutamente diverse combinazioni di nome utente e password per accedere a un dispositivo VPN. Questo tipo di attacco richiede molta potenza di calcolo e tempo, ma può essere efficace se il dispositivo VPN ha delle credenziali deboli o predefinite.

Secondo il ricercatore Aaron Martin, che ha scoperto il botnet, Brutus ha iniziato la sua campagna il 15 marzo e ha eseguito decine di milioni di richieste di forza bruta ogni giorno, mirando a diversi fornitori di dispositivi VPN, come Cisco, Fortinet, Sonicwall e Palo Alto.

Brutus si distingue per alcune caratteristiche che lo rendono particolarmente pericoloso e difficile da contrastare. Innanzitutto, il botnet è indiscriminato e non mira a un solo fornitore o a un solo tipo di dispositivo VPN, ma a tutti quelli che trova sulla sua strada. Inoltre, il botnet utilizza 20.000 indirizzi IP in tutto il mondo, coprendo varie infrastrutture, dai servizi cloud agli indirizzi IP domestici. Questo significa che il botnet può cambiare rapidamente i suoi indirizzi IP per eludere la rilevazione e il blocco da parte dei sistemi di sicurezza. Infatti, Brutus cambia i suoi indirizzi IP ogni sei tentativi, rendendo inefficaci le soluzioni basate sul blocco degli IP.

Un’altra caratteristica di Brutus è che utilizza nomi utente molto specifici e precedentemente non divulgati, che non sono presenti nei dump di dati pubblici. Questo solleva preoccupazioni su come siano stati ottenuti e potrebbe indicare una violazione non divulgata o uno sfruttamento 0-day, ovvero un attacco basato su una vulnerabilità non nota al pubblico e al fornitore del dispositivo VPN. Infine, Brutus non si limita a mirare ai dispositivi VPN, ma anche alle applicazioni web che utilizzano Active Directory per l’autenticazione. Active Directory è un servizio di Microsoft che gestisce le identità e le autorizzazioni degli utenti in una rete.

Le conseguenze e le contromisure

Gli attacchi di Brutus potrebbero avere gravi conseguenze per la sicurezza e la privacy delle aziende e delle organizzazioni che utilizzano i dispositivi VPN. Se un attaccante riesce a entrare in un dispositivo VPN, potrebbe accedere a tutte le informazioni e le comunicazioni che transitano attraverso la connessione sicura, rubare dati sensibili, installare altri malware, effettuare attacchi di tipo man-in-the-middle o denial-of-service. Inoltre, potrebbe utilizzare il dispositivo VPN infetto come punto di partenza per attaccare altre reti o dispositivi collegati.

Per difendersi da Brutus, i fornitori di dispositivi VPN hanno condiviso alcune raccomandazioni per i loro clienti. Tra queste, ci sono l’uso di credenziali forti e uniche, l’abilitazione di un fattore di autenticazione aggiuntivo, la limitazione degli accessi da indirizzi IP o reti fidate, l’aggiornamento dei dispositivi VPN alle ultime versioni di sicurezza, il monitoraggio delle attività sospette e il blocco delle richieste di forza bruta. Inoltre, è consigliabile utilizzare soluzioni di sicurezza avanzate che possano rilevare e prevenire gli attacchi di Brutus, basandosi non solo sugli indirizzi IP, ma anche su altri indicatori di compromissione, come quelli elencati nella guida di mitigazione delle conseguenze di Cisco.

L’origine e il movente di Brutus

Al momento, non è stato possibile attribuire la minaccia di Brutus a un gruppo o a un attore specifico. Sono solo ipotesi, basate sulle caratteristiche e sulle modalità degli attacchi. Alcuni esperti ritengono che Brutus sia opera di un gruppo di cybercriminali che cerca di sfruttare le vulnerabilità dei dispositivi VPN per ottenere accesso a reti sensibili e rubare dati di valore.

Altri ipotizzano che Brutus sia una campagna di spionaggio sponsorizzata da uno stato, che mira a raccogliere informazioni strategiche e a compromettere le infrastrutture critiche. In entrambi i casi, Brutus rappresenta una minaccia seria e in continua evoluzione, che richiede una risposta coordinata e tempestiva da parte dei fornitori, dei clienti e delle autorità competenti.

Sandro Sana
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, si occupa d'Information Technology dal 1990, negli anni ha lavorato con aziende di diverso tipo dalle PMI alle Enterprise e la PA. Dal 2003 inizia ad interessarsi di comunicazione, PNL e Public Speaking. Nel 2014 si specializza in scouting e R&D di soluzioni in ambito Cybersecurity. CEH - EC-Council Certified Ethical Hacker, CIH EC-Council Certified Incident Handler, CISSP - Certified Information Systems Security Professional, relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro dell'Associazione Informatici Professionisti dal 2017 e Coordinatore per la regione Friuli-Venezia Giulia per AIP-ITCS. Membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360. Consulente framework CIS, NIST e ENISA.