Attacco brute force colpisce i device usando 2,8 milioni di IP

Un attacco su larga scala con metodo "brute force" (forza bruta) sta cercando di indovinare le credenziali di accesso di vari dispositivi di rete, tra cui quelli di Palo Alto Networks, Ivanti e SonicWall. L'attacco utilizza quasi 2,8 milioni di indirizzi IP al giorno. Un attacco brute force avviene quando i criminali informatici provano a entrare ripetutamente in un account o in un dispositivo. Gli hacker testano infatti molte combinazioni di nome utente e password fino a trovare quella giusta. Una volta ottenute le credenziali corrette, gli aggressori possono prendere il controllo del dispositivo o accedere alla rete. Secondo The Shadowserver Foundation, una piattaforma di monitoraggio delle minacce, questo attacco è in corso dallo scorso mese e continua a colpire numerosi dispositivi ogni giorno.

La maggior parte di questi attacchi brute force (1,1 milioni) proviene dal Brasile, seguito da Turchia, Russia, Argentina, Marocco e Messico. Tuttavia, il numero dei paesi coinvolti è maggiore. Si tratta di dispositivi di sicurezza perimetrale, come firewall, VPN, gateway e altri strumenti di sicurezza, spesso esposti a Internet per consentire l'accesso remoto. I dispositivi che stanno conducendo questi attacchi sono principalmente router e dispositivi IoT di MikroTik, Huawei, Cisco, Boa e ZTE, che vengono spesso compromessi da grandi botnet malware. The Shadowserver Foundation ha confermato alla redazione di BleepingComputer che questa attività è in corso da tempo. Tuttavia, recentemente ha raggiunto una scala molto più ampia. Shadowserver ha anche affermato che gli indirizzi IP utilizzati per l'attacco sono distribuiti su molte reti e sistemi autonomi. Probabilmente fanno parte di una botnet o di un'operazione legata a reti proxy residenziali.

Attacco brute force: come proteggere i propri dispositivi

I proxy residenziali sono indirizzi IP assegnati agli utenti domestici dai provider di servizi Internet (ISP). Questi indirizzi sono molto ricercati nel cybercrimine per attività come web scraping, elusione di restrizioni geografiche, verifica delle pubblicità, acquisto automatizzato di scarpe o biglietti (sneaker/ticket scalping) e altro ancora. Questi proxy indirizzano il traffico Internet attraverso reti residenziali, facendo sembrare che l'utente sia una persona comune che naviga da casa, invece di un bot, un data scraper o un hacker. I dispositivi di rete presi di mira in questi attacchi potrebbero essere usati come nodi di uscita per proxy residenziali, instradando il traffico dannoso attraverso la rete aziendale di un'organizzazione. Questi nodi sono considerati di "alta qualità" perché le organizzazioni hanno una buona reputazione, rendendo gli attacchi più difficili da rilevare e bloccare.

I passaggi per proteggere i dispositivi da un attacco brute force includono la modifica della password di amministratore predefinita con una forte e univoca. È importante anche usare l'autenticazione a più fattori (MFA) e una lista consentita di IP attendibili. Infine, è necessario disattivare le interfacce di amministrazione web se non sono necessarie. In definitiva, applicare gli ultimi aggiornamenti del firmware e di sicurezza su tali dispositivi è fondamentale per eliminare le vulnerabilità che gli autori delle minacce possono sfruttare per ottenere l'accesso iniziale. Lo scorso aprile, Cisco ha lanciato l'allarme su una campagna di brute-forcing delle credenziali su larga scala. Questo attacco ha preso di mira i dispositivi Cisco, CheckPoint, Fortinet, SonicWall e Ubiquiti in tutto il mondo. A dicembre, anche Citrix ha lanciato l'allarme su attacchi password spray che hanno preso di mira i dispositivi Citrix Netscaler in tutto il mondo.