Известные хакиеры-вымогатели представили новый инструмент для взлома VPN методом перебора.

Исследователи обнаружили инструмент для перебора по грубой силе под названием BRUTED. Его использовали с 2023 года против VPN и межсетевых экранов. BRUTED позволяет автоматизировать атаки типа brute-force и stuffing учетных данных.

Известные злоумышленники, использующие выкупное ПО Black Basta, создали автоматическую систему для перебора межсетевых экранов, VPN и других сетевых устройств на периметре сети. Инструмент «BRUTED», как сообщают исследователи по кибербезопасности EclecticIQ, изучавшие недавно слитые журналы чата Black Basta, которые были загружены в GPT для более простого анализа, Apparently, BRUTED использовался с 2023 года в масштабных атаках stuffing учетных данных и brute-force.

В список целевых устройств входят SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.

Высокая уверенность часто приводит к жертве. Инструмент сначала определяет потенциальных жертв путем перечисления поддоменов, разрешения IP-адресов и добавления префиксов, таких как «vpn» или «remote». Затем он извлекает список возможных учетных данных для входа и комбинирует их с локально сгенерированными предположениями, выполняя как можно больше запросов. Чтобы сузить список, BRUTED извлекает имя Common Name (CN) и Subject Alternative Names (SAN) из SSL-сертификатов целевых устройств, как сообщили исследователи.

Наконец, чтобы остаться незамеченным, BRUTED использует список SOCKS5-прокси, хотя его инфраструктура, по всей видимости, находится в России. Чтобы защититься от атак типа brute-force и stuffing учетных данных, предприятия должны убедиться, что все их устройства на периметре сети и экземпляры VPN имеют сильные, уникальные пароли, состоящие не менее чем из восьми символов с использованием как прописных, так и строчных букв, цифр и специальных символов.

Также рекомендуется ввести многофакторную аутентификацию (MFA) на всех возможных учетных записях и применить философию нулевого доверия к сетевому доступу (ZTNA), если это возможно. В конечном счете, мониторинг сети на предмет попыток аутентификации из неизвестных местоположений, а также многочисленных неудачных попыток входа, является отличным способом обнаружения атак.