sexta-feira, novembro 22, 2024
InícioCiência e tecnologiaHackers realizam ataques com milhões de tentativas de login

Hackers realizam ataques com milhões de tentativas de login

A equipe de segurança da Cisco, chamada Talos, emitiu alerta sobre ataques hacker de tentativa de comprometimento de credenciais em larga escala, que visa, de forma indiscriminada, redes no mundo todo com tentativas de login, tentando acesso não-autorizado à VPNs, SSHs e contas de apps na web.

Como se dá o ataque

  • Segundo a ArsTechnica, as tentativas de login usam nomes genéricos e válidos de usuário direcionadas a organizações específicas;
  • A Cisco listou mais de dois mil nomes de usuário e quase 100 senhas usadas nos ataques, além de quase quatro mil endereços IP de onde vieram as tentativas;
  • Os endereços IP parecem se originar de nós de saída TOR e outros túneis e proxies próximos;
  • Os ataques são indiscriminados, oportunistas e não-dirigidos a região ou indústria específica.

Dependendo do ambiente-alvo, ataques bem-sucedidos desse tipo podem levar a acesso não-autorizado à rede, bloqueios de contas ou condições de negação de serviço[DDoS]. O tráfego relacionado a esses ataques aumentou com o tempo e, provavelmente, continuará aumentando.

Pesquisadores do Talos, em comunicado

Os ataques teriam começado em torno de 18 de março. O comunicado do Talos foi publicado semanas após a Cisco alertar sobre uma campanha de ataque hacker semelhante.

A Cisco o descreveu como sendo um spray de senha direcionado a VPNs de acesso remoto da própria Cisco e de provedores terceirizados conectados a firewalls da empresa. Segundo a companhia, essa campanha estaria relacionada a esforços de reconhecimento.

As incursões hacker foram orquestradas por centenas de milhares ou milhões de tentativas de autenticação rejeitadas. Ainda segundo a Cisco, os usuários podem receber, de forma intermitente, a seguinte mensagem de erro: “Não foi possível concluir a conexão. Cisco Secure Desktop não instalado no cliente.”

As tentativas de login que davam esse erro não conseguem se conectar à VPN. O relatório da empresa relatou também “sintomas de falhas na alocação de token hotscan”.

Um representante da companhia, por sua vez, afirmou que os pesquisadores da Cisco não têm evidências que vinculem as duas tentativas ao mesmo autor, mas que existem sobreposições técnicas na maneira como os ataques foram realizados, idem na infraestrutura utilizada pelos atacantes.

Ataques foram direcionados em especial a VPNs da Cisco (Imagem: Valeriya Zankovych/Shutterstock)

Serviços-alvo dos hackers

O Talos apontou, ainda, que os serviços-alvo da campanha hacker incluem, mas não estão limitados aos seguintes:

  • VPN de firewall seguro Cisco;
  • VPN de ponto de verificação;
  • VPN Fortinet;
  • VPN Sonic Wall;
  • Serviços Web de RD;
  • Mikrotik;
  • Draytek;
  • Ubiquiti.

Os IPs de anonimato pareciam pertencer a serviços, incluindo:

  • Termos de Referência;
  • Portão VPN;
  • Proxy IPIDEA;
  • Proxy BigMama;
  • Proxies Espaciais;
  • Proxy Nexus;
  • Rack de proxy.

A lista de IPs elaborada pela Cisco já está devidamente bloqueada pela empresa em suas ofertas de VPN. As organizações também podem adicioná-los às listas de bloqueio de qualquer VPN de terceiro que estejam utilizando. Neste link, você vê a lista completa de indicações de compromisso da empresa acerca do ataque.

Além disso, a Cisco aponta uma série de recomendações aos gestores de TI e usuários visando impedir que os ataques sejam bem-sucedidos. Entre estas orientações, temos:

  • Habilitar registro detalhado, preferencialmente para servidor syslog remoto, de modo que os administradores consigam reconhecer e correlacionar ataques em vários terminais de rede;
  • Proteger contas de acesso remoto padrão, fazendo o sinkholing, a menos que usem os perfis DefaultRAGroup e DefaultWEBVPNGroup;
  • Bloqueio de tentativas de conexão de fontes maliciosas já conhecidas;
  • Implementar listas de controle de acesso no nível da interface e no plano de controle para realizar a filtragem dos endereços IP públicos não-autorizados, bem como impedir o início de sessões VPN remotas não-autorizados;
  • Usar o comando evitar;
  • As VPNs de acesso remoto também devem usar autenticação baseada em certificado;
  • Para outras recomendações da Cisco para fortalecer VPNs, clique aqui.

Via Olhar Digital

MAIS DO AUTOR

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui