Sandro Sana : 3 Aprile 2024 14:12
Recentemente abbiamo parlato di una aggressiva campagna di forza bruta ha colpito milioni di server VPN, sfruttando nomi utente sconosciuti e cambiando indirizzi IP. Oggi vogliamo parlare di Brutus e comprenderne meglio il suo funzionamento.
Brutus è il nome di un nuovo botnet, ovvero una rete di dispositivi infettati da un malware che li controlla a distanza, che ha lanciato una massiccia campagna di attacchi ai dispositivi VPN (Virtual Private Network) in tutto il mondo.
Un dispositivo VPN è un server che permette di creare una connessione sicura e criptata tra due reti, ad esempio tra il computer di casa e quello dell’ufficio. Questa tecnologia è molto usata dalle aziende e dalle organizzazioni per proteggere i loro dati e le loro comunicazioni.
SCONTO ESTREMO DEL 50% FINO AL 31 Dicembre sul corso Dark Web & Cyber Threat Intelligence in E-learning version
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti
darà diritto ad uno sconto del 50% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Brutus sfrutta una tecnica chiamata forza bruta, che consiste nel provare ripetutamente diverse combinazioni di nome utente e password per accedere a un dispositivo VPN. Questo tipo di attacco richiede molta potenza di calcolo e tempo, ma può essere efficace se il dispositivo VPN ha delle credenziali deboli o predefinite.
Secondo il ricercatore Aaron Martin, che ha scoperto il botnet, Brutus ha iniziato la sua campagna il 15 marzo e ha eseguito decine di milioni di richieste di forza bruta ogni giorno, mirando a diversi fornitori di dispositivi VPN, come Cisco, Fortinet, Sonicwall e Palo Alto.
Brutus si distingue per alcune caratteristiche che lo rendono particolarmente pericoloso e difficile da contrastare. Innanzitutto, il botnet è indiscriminato e non mira a un solo fornitore o a un solo tipo di dispositivo VPN, ma a tutti quelli che trova sulla sua strada. Inoltre, il botnet utilizza 20.000 indirizzi IP in tutto il mondo, coprendo varie infrastrutture, dai servizi cloud agli indirizzi IP domestici. Questo significa che il botnet può cambiare rapidamente i suoi indirizzi IP per eludere la rilevazione e il blocco da parte dei sistemi di sicurezza. Infatti, Brutus cambia i suoi indirizzi IP ogni sei tentativi, rendendo inefficaci le soluzioni basate sul blocco degli IP.
Un’altra caratteristica di Brutus è che utilizza nomi utente molto specifici e precedentemente non divulgati, che non sono presenti nei dump di dati pubblici. Questo solleva preoccupazioni su come siano stati ottenuti e potrebbe indicare una violazione non divulgata o uno sfruttamento 0-day, ovvero un attacco basato su una vulnerabilità non nota al pubblico e al fornitore del dispositivo VPN. Infine, Brutus non si limita a mirare ai dispositivi VPN, ma anche alle applicazioni web che utilizzano Active Directory per l’autenticazione. Active Directory è un servizio di Microsoft che gestisce le identità e le autorizzazioni degli utenti in una rete.
Gli attacchi di Brutus potrebbero avere gravi conseguenze per la sicurezza e la privacy delle aziende e delle organizzazioni che utilizzano i dispositivi VPN. Se un attaccante riesce a entrare in un dispositivo VPN, potrebbe accedere a tutte le informazioni e le comunicazioni che transitano attraverso la connessione sicura, rubare dati sensibili, installare altri malware, effettuare attacchi di tipo man-in-the-middle o denial-of-service. Inoltre, potrebbe utilizzare il dispositivo VPN infetto come punto di partenza per attaccare altre reti o dispositivi collegati.
Per difendersi da Brutus, i fornitori di dispositivi VPN hanno condiviso alcune raccomandazioni per i loro clienti. Tra queste, ci sono l’uso di credenziali forti e uniche, l’abilitazione di un fattore di autenticazione aggiuntivo, la limitazione degli accessi da indirizzi IP o reti fidate, l’aggiornamento dei dispositivi VPN alle ultime versioni di sicurezza, il monitoraggio delle attività sospette e il blocco delle richieste di forza bruta. Inoltre, è consigliabile utilizzare soluzioni di sicurezza avanzate che possano rilevare e prevenire gli attacchi di Brutus, basandosi non solo sugli indirizzi IP, ma anche su altri indicatori di compromissione, come quelli elencati nella guida di mitigazione delle conseguenze di Cisco.
Al momento, non è stato possibile attribuire la minaccia di Brutus a un gruppo o a un attore specifico. Sono solo ipotesi, basate sulle caratteristiche e sulle modalità degli attacchi. Alcuni esperti ritengono che Brutus sia opera di un gruppo di cybercriminali che cerca di sfruttare le vulnerabilità dei dispositivi VPN per ottenere accesso a reti sensibili e rubare dati di valore.
Altri ipotizzano che Brutus sia una campagna di spionaggio sponsorizzata da uno stato, che mira a raccogliere informazioni strategiche e a compromettere le infrastrutture critiche. In entrambi i casi, Brutus rappresenta una minaccia seria e in continua evoluzione, che richiede una risposta coordinata e tempestiva da parte dei fornitori, dei clienti e delle autorità competenti.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009