VPN-Brute-Force-Angriffe laufen nun automatisiert ab
Bereits im vergangenen Jahr gab es einige großangelegte Brute-Forcing- und Passwort-Spray-Angriffe auf diese Geräte. Und der Verdacht liegt nahe, dass BRUTED an einigen davon beteiligt gewesen sein könnte, da BlackBasta laut EclecticIQ die Plattform bereits seit 2023 nutzt, um groß angelegte Brute-Force- und Credential-Stuffing-Angriffe auf Edge-Netzwerkgeräte durchzuführen.
Die Analyse des Quellcodes zeigt, dass das Framework speziell für Brute-Force-Angriffe entwickelt wurde, die es auf Anmeldeinformationen bei VPN- und Remote-Access-Produkten wie SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) und WatchGuard SSL VPN abgesehen haben.
Das Framework sucht dabei nach öffentlich zugänglichen Edge-Networking-Geräten, die der Zielliste entsprechen, indem es Subdomänen auflistet, IP-Adressen auflöst und Endungen wie „.vpn“ oder „remote“ anhängt. Die Treffer werden anschließend an den Command-and-Control-Server (C2) zurückgemeldet. Sobald potenzielle Ziele identifiziert sind, ruft BRUTED mögliche Passwörter von einem Remote-Server ab und kombiniert sie mit lokal generierten vermuteten Passwortvarianten, um möglichst viele Authentifizierungsanfragen über mehrere CPU-Prozesse auszuführen.
Dem EclecticIQ-Bericht zufolge kann BRUTED Common Name (CN) und Subject Alternative Names (SAN) aus den SSL-Zertifikaten der Zielgeräte extrahieren, wodurch zusätzliche Passwortvorschläge auf der Grundlage der Domäne und der Namenskonventionen des Ziels generiert werden können.
Um sich zu Tarnen und der Entdeckung zu entgehen, verwendet das Framework eine Liste von SOCKS5-Proxys mit einem interessanten Domänennamen, der die Infrastruktur des Angreifers versteckt. Die Hauptinfrastruktur des Frameworks umfasst mehrere Server in Russland und ist unter dem Namen Proton66 (AS 198953) registriert.
Brute-Force-Angriffe sind an sich nichts Neues, doch Tools wie BRUTED rationalisieren Ransomware-Angriffe, indem sie mit minimalem Aufwand in viele Netzwerke auf einmal eindringen. So werden die Möglichkeiten für Bedrohungsakteure erhöht, Gewinn aus ihren Angriffen zu schlagen. Eine wichtige Verteidigungsstrategie gegen derartige Attacken besteht darin, starke, eindeutige Passwörter für alle Edge-Geräte und VPN-Konten zu vergeben und eine Multi-Faktor-Authentifizierung (MFA) zu verwenden, um den Zugriff zu blockieren, selbst wenn die Anmeldedaten kompromittiert wurden.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
