Jak opublikował SYMANTEC w swoim najnowszym biuletynie badacze ostrzegają przed zakrojoną na szeroką skalę kampanią typu Brute-force - wymuszania danych uwierzytelniających, której celem są usługi VPN i SSH na urządzeniach Cisco, CheckPoint, Fortinet,SonicWall i Ubiquiti na całym świecie.
Według raportu Cisco Talos kampania, która rozpoczęła się 18 marca, wykorzystuje mieszankę prawidłowych i ogólnych nazw użytkowników/pracowników powiązanych z konkretnymi organizacjami. Ataki pochodzą z węzłów wyjściowych TOR oraz różnych innych narzędzi anonimizacji i serwerów proxy, pomagających hakerom unikać blokad.
„W zależności od środowiska docelowego udane ataki tego typu mogą prowadzić do nieautoryzowanego dostępu do sieci, blokady kont lub warunków odmowy usługi” – ostrzega Cisco. „Ruch związany z tymi atakami wzrósł z czasem i prawdopodobnie będzie nadal rósł”.
Kampania ta jest aktywnie ukierunkowana na następujące usługi:
- Cisco Secure Firewall VPN
- CheckPoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
Badacze udostępnili pełną listę wskaźników kompromisu (IOC) dla tego działania, aby pomóc organizacjom w łagodzeniu ataków.
Tekst na podstawie artykułu - Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w naszej firmie. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
