Uważaj na atakujących Brute Force Ransomware.
Z ostatnim Ostrzeżenia z FBI Jak Niebezpieczne grupy ransomware kontynuować atak, wykorzystując metody tak różnorodne jak opublikowane zagrożenia wymuszające I Fałszywe testy Captcha W przypadku wstępnego dostępu nowy raport ujawnił, w jaki sposób niektórzy aktorzy ransomware dodali niepokojące narzędzie do swojej zbrojowni: automatyczne ataki brutalnej siły na VPN i zapory ogniowe.
Grupa Ransomware Utwórz zautomatyzowane narzędzie do ataku VPN i Firewall Brute Force
Ostatnio Wyciekane dzienniki czatu Z grupy Black Basta Ransomware ujawniła wiele rzeczy, w tym hasła i skradzione kody 2FA napędzają wiele ataków. To nie jest szokujące objawienie, trzeba powiedzieć. W związku z tym, że te skradzione poświadczenia zostały użyte w Brutowa siła atakuje ataki przeciwko celom korporacyjnym.
Nowo opublikowane badania ARDA Büyükkaya, analityka wywiadu cybernetycznego w Eclecticiq, jednak potwierdziły „nieznane wcześniej brutalne ramy wymuszania”, które zostały wykorzystane przez Black Basta Gang w celu automatyzacji procesu uzyskania dostępu do przedsiębiorstw VPNS i Firewalls.
Po przeanalizowaniu kodu źródłowego Büyükkaya był w stanie potwierdzić że
Główną możliwością tego narzędzia jest „zautomatyzowane skanowanie internetowe i wyposażenie poświadczenia na urządzeniach sieciowych, w tym powszechnie używane zapory ogniowe i rozwiązania VPN w sieciach korporacyjnych”. Wywołując narzędzie Bruted, w oparciu o jego konwencje nazywania dziennika, analitycy Eclecticiq ocenili, że grupa Black Basta Ransomware „Celuje ataki na urządzenia sieciowe, wykorzystując słabe lub ponownie wykorzystywane poświadczenia, aby uzyskać początkową przyczółek do ruchu bocznego i rozmieszczenie ransomware”. Bruted umożliwia im, i równie znacząco ich podmioty stowarzyszone, którzy ułożą początkowe prace osła w kampaniach zagrożonych, zautomatyzować i skalować te ataki, „rozszerzając swoją pulę ofiar i przyspieszając monetyzację w celu zwiększenia operacji ransomware”.
Jak aktorzy ransomware stosują narzędzie Bruted Brute Force
Napisany w PHP, Bruted Script stosuje wyspecjalizowaną logikę siły brutalnej dla każdej indywidualnej platformy ataku, używając dostosowanych ciągów użytkownika-agenta, ścieżek punktu końcowego i kontroli sukcesu. „To szerokie relacje produktów VPN i zdalnego desktopu odzwierciedla podejście o wysoce przystosowalne”, powiedział Büyükkaya, „umożliwiając atakującym systematyczne badanie słabych lub ponownie wykorzystanych poświadczeń w wielu środowiskach przedsiębiorstwa”.
Analitycy Eclecticiq zagrożenia byli w stanie ustalić, że wśród znanych celów, że Bruted Tool zostało skonfigurowane do ataku, obecni byli następujący dostawcy i technologie: Sonicwall NetExtender, Palo Alto Globalprotect, Cisco AnyConnect, Fortinet SSL VPN, Citrix Netscaler (Citrix Gateway), mikrosoft RDWB i Watchgu -VPN.
Narzędzie działa poprzez automatyzację wyliczania subdomen i rozdzielczość IP dla dowolnej domeny do skanowania dla potencjalnie ważnych nazw hostów i adresów IP. „Zgłasza wszelkie odkryte hosty z powrotem do zdalnego punktu końcowego i kontroli”-powiedział Büyükkaya. Bruted będzie następnie zestawił prawdopodobne hasła ze zdalnego serwera i połączy je „z lokalnie wygenerowanymi domysłami”, aby wykonać próby uwierzytelniania masowego.
Aby złagodzić te ataki oprogramowania ransomware, Büyükkaya zaleciło, aby wszystkie urządzenia były w pełni załatane i aktualne, zasady hasła i logowania są wzmocnione, a niepotrzebne usługi i funkcje są wyłączone.
