Η διαβόητη ομάδα κυβερνοεγκληματιών Black Basta, γνωστή για τις επιθέσεις ransomware σε μεγάλους οργανισμούς, ανέπτυξε ένα εξειδικευμένο και αυτοματοποιημένο εργαλείο brute-force με την ονομασία ‘BRUTED’. Το εργαλείο αυτό στοχεύει ευρέως χρησιμοποιούμενες συσκευές δικτύου, όπως firewalls και VPNs, για να αποκτήσει παράνομα πρόσβαση σε εταιρικά δίκτυα.
Το BRUTED επιτρέπει στην Black Basta να αυτοματοποιήσει και να κλιμακώσει τις επιθέσεις της, εντοπίζοντας και εκμεταλλευόμενη ευάλωτα σημεία πρόσβασης που είναι εκτεθειμένα στο διαδίκτυο. Το εργαλείο επιτρέπει επιθέσεις σε δημοφιλή προϊόντα VPN και απομακρυσμένης πρόσβασης όπως SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb και WatchGuard SSL VPN.
Πώς λειτουργεί το BRUTED;
Το BRUTED χρησιμοποιεί αυτοματοποιημένες διαδικασίες για την ανακάλυψη και εκμετάλλευση στόχων. Αρχικά, εντοπίζει ευάλωτες συσκευές δικτύου προσθέτοντας προθέματα όπως ‘.vpn’, ‘remote’ ή ‘login’ σε υπάρχοντες υποτομείς για να εντοπίσει και να επιλύσει τις διευθύνσεις IP τους. Έπειτα, χρησιμοποιεί έναν συνδυασμό κωδικών πρόσβασης που αντλεί από απομακρυσμένους servers και τοπικά παραγόμενες εκτιμήσεις, για να εκτελέσει εκατοντάδες ταυτόχρονες αιτήσεις σύνδεσης μέσω πολλαπλών CPU threads.
Για να αποφύγει τον εντοπισμό, το BRUTED χρησιμοποιεί proxies τύπου SOCKS5, οι οποίοι αποκρύπτουν την υποδομή της επίθεσης πίσω από ένα ενδιάμεσο στρώμα, δυσχεραίνοντας τον εντοπισμό των πραγματικών επιτιθέμενων από τις υπηρεσίες ασφαλείας.
Πώς να προστατευτείτε από επιθέσεις brute-force
Οι επιθέσεις brute-force αποτελούν σοβαρό κίνδυνο, ειδικά όταν αυτοματοποιούνται. Οι επιχειρήσεις μπορούν να λάβουν ορισμένα μέτρα προστασίας:
- Ενίσχυση Κωδικών Πρόσβασης: Χρήση ισχυρών και μοναδικών κωδικών που είναι δύσκολο να προβλεφθούν από αυτοματοποιημένα εργαλεία.
- Πολυπαραγοντική Επαλήθευση (MFA): Ενεργοποίηση MFA που απαιτεί επιπλέον βήμα επαλήθευσης, καθιστώντας δυσκολότερη την πρόσβαση στους κυβερνοεγκληματίες, ακόμη και αν έχουν τον σωστό κωδικό πρόσβασης.
- Rate Limiting: Εφαρμογή μέτρων περιορισμού προσπαθειών σύνδεσης για τη μείωση της ταχύτητας των αυτοματοποιημένων επιθέσεων.
- Αποκλεισμός IP και Geo-blocking: Αποκλεισμός IP διευθύνσεων με ύποπτη συμπεριφορά και περιορισμός πρόσβασης σε συγκεκριμένες γεωγραφικές περιοχές.
- Συνεχής Παρακολούθηση: Χρήση συστημάτων ανίχνευσης και πρόληψης εισβολών (IDS/IPS) που παρακολουθούν για μη φυσιολογική δραστηριότητα.
Συμπέρασμα
Η αυξανόμενη χρήση εργαλείων αυτοματοποίησης, όπως το BRUTED, από εγκληματικές ομάδες στον κυβερνοχώρο, καθιστά επιτακτική την ανάγκη για υιοθέτηση ισχυρών μέτρων κυβερνοασφάλειας από τις επιχειρήσεις και τους οργανισμούς.
Πηγές: BleepingComputer
