Злоумышленники атакуют сети по всему миру миллионами попыток входа в систему. Масштабная кампания по компрометации учетных данных направлена на VPN, SSH и веб-приложения.
Эксперты по безопасности Cisco Talos предупредили об атаке на сети с целью получения доступа к учетным записям VPN, SSH и веб-приложений.
Атаки носят беспорядочный характер и не направлены на какой-то конкретный регион или отрасль. Для получения доступа злоумышленники используют различные комбинации действительных имен сотрудников определенных организаций и паролей.
Исследователи Talos рассказали, что данные атаки могут позволить хакерам получить доступ к сети и учетным записям пользователей.
Попытки взлома начались ещё 18 марта 2024 года и продолжают набирать обороты. Отследить злоумышленников очень трудно, так как атаки поступают с узлов выхода TOR и других анонимизирующих туннелей и прокси-серверов.
IP-адреса анонимизации принадлежат таким сервисам, как VPN Gate, TOR, Proxy Rack, Nexus Proxy, IPIDEA Proxy и другим.
Компания Talos сообщила, что атаке подверглись следующие сервисы:
- Cisco Secure Firewall VPN;
- Checkpoint VPN;
- Fortinet VPN;
- SonicWall VPN;
- RD Web Services;
- Mikrotik;
- Draytek;
- Ubiquiti.
IP-адреса анонимайзеров, как выяснили исследователи, принадлежат следующим сервисам:
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
Упомянутый выше перечень IP-адресов Cisco добавила в список блокировки для своих VPN-продуктов. С полным списком индикаторов компрометации можно ознакомиться здесь.
Компания также опубликовала список рекомендаций, которые помогут пользователям обезопасить себя от атак:
- блокировать попытки подключения из перечисленных вредоносных источников;
- включение подробного протоколирования, чтобы администраторы могли распознавать и соотносить атаки на различных конечных точках сети;
- защита учетных записей удаленного доступа по умолчанию путем их блокировки;
- внедрение системы контроля и управления доступом на уровне интерфейса.
