Масштабная кибератака продолжается: 2,8 миллиона IP-адресов задействованы в атаках на устройства VPN.

Эксперты предупреждают, что широкий спектр устройств виртуальных частных сетей (VPN) и других сетевых устройств подвергается атакам со стороны злоумышленников.

Мониторинговая платформа The Shadowserver Foundation сообщила об активной атаке, где используется около 2,8 миллионов различных IP-адресов для попыток угадать пароли к устройствам, созданным компаниями Palo Alto Networks, Ivanti, SonicWall и другими.

Кроме VPN, злоумышленники также пытаются взломать шлюзы, устройства безопасности и другие сетевые устройства, подключенные к публичному интернету. Для проведения атаки используются маршрутизаторы MikroTik, Huawei, Cisco, Boa и ZTE, которые вероятно были заражены вредоносным ПО или взломаны из-за слабых паролей.

По информации The Shadowserver Foundation, атака недавно усилилась. Большинство IP-адресов (около 1,1 миллиона) находятся в Бразилии, остальные — в Турции, России, Аргентине, Марокко и Мексике.

Это типичная атака методом подбора пароля (словарного перебора), при которой злоумышленники пытаются войти на устройство путем подачи огромного количества комбинаций логина и пароля до тех пор, пока одна из них не будет успешной. Такие атаки обычно успешны против устройств, защищенных слабыми паролями (которые не содержат сильных комбинаций заглавных и строчных букв, цифр и специальных символов).

Процесс автоматизирован, что позволяет масштабировать атаку. Автоматизация достигается через вредоносное ПО. Обычно устройства, используемые в атаках, являются частью ботнета или резидентного прокси-сервиса.

Резидентные прокси — это IP-адреса, назначенные реальным устройствам интернет-провайдерами. Они создают видимость того, что пользователь просматривает веб-сайты из легитимных жилых мест, а не из дата-центра, что делает их значительной целью для киберпреступников.