La botnet Brutus sta sferrando attacchi spray password. Ecco come affrontarli.
La botnet Brutus emerge nelle cronache informatiche come una nuova minaccia nel panorama della cybersecurity, evidenziando la necessità di implementare politiche di sicurezza efficaci e aggiornate. Questa rete malevola sta conducendo operazioni mirate a compromettere l’accesso remoto a diverse piattaforme, utilizzando la tecnica conosciuta come attacco spray password. Tale tattica vede gli aggressori utilizzare una singola password su molteplici account, puntando a bypassare le misure di sicurezza e ad accedere illegalmente ai sistemi.
I recenti avvisi di Cisco segnalano che tale botnet sta prendendo di mira servizi RAVPN configurati sui dispositivi Cisco Secure Firewall. Esperti di cyber security sottolineano che questa attività è possibile indicatore di campagne di intelligence strategica condotte da soggetti non ancora identificati.
Essere prevenuti in materia di sicurezza è imperativo; di fatto, gli attacchi informatici possono condurre a severe perdite di dati e malfunzionamenti dei sistemi. Le linee guida promulgate da Cisco rivestono quindi un ruolo cruciale nell’affrontare questa problematica. Tra i diversi consigli, gli esperti raccomandano di:
- Abilitare la registrazione dettagliata su server syslog esterni, al fine di analizzare e correlare meglio gli eventi sospetti;
- Utilizzare il comando TCP shun per respingere manualmente indirizzi IP malevoli;
- Configurare l’autenticazione basata su certificato in alternativa all’uso di normali credenziali per la connessione VPN;
- Impostare liste di controllo di accesso (ACL) che filtrino gli indirizzi IP pubblici non autorizzati che tentano di avviare sessioni VPN.
Le indagini condotte da professionisti della sicurezza informatica, come Aaron Martin, hanno portato alla luce ulteriori aspetti di questa sofisticata minaccia. La botnet Brutus sfrutterebbe circa 20.000 indirizzi IP a livello globale, spaziando da servizi cloud a connessioni domestiche, ed è nota per la sua capacità di variare gli IP dopo pochi tentativi di accesso, al fine di sfuggire ai sistemi di rilevamento. Inoltre, sembra utilizzare nomi utente particolari e inusuali che presuppongono un possesso di dati non comuni, suggerendo la possibilità di precedenti vie di accesso illecite o vulnerabilità exploitate.
La strategia difensiva deve quindi essere multifaccettata e internazionale, vista la capacità della botnet di operare su vasta scala e la sua evoluzione a mirare non solo soluzioni SSLVPN di noti brand come Fortinet, ma anche applicazioni web integrate con sistemi di autenticazione come Active Directory.
Nonostante non vi sia una chiara attribuzione dell’origine di questi attacchi, alcune tracce informatiche individuate possono collegare parte di questa attività ostile a gruppi di hacker di lingua russa, noti per precedenti operazioni di cyber spionaggio e attacchi informatici di rilevanza internazionale.