Securityspecialisten van Cisco waarschuwen voor brute-force-aanvallen op VPN- en SSH-toepassingen voor eigen devices, maar ook op die van CheckPoint, Fortinet, SonicWall en Ubiquiti. De aanvallen richten zich op het stelen van inloggegevens en hebben mogelijk een link met eerdere recente aanvalspogingen.
De securityspecialisten van Cisco Talos waarschuwen gebruikers van een reeks van VPN- en SSH-toepassingen voor mogelijke grootschalige brute-force-aanvallen. Via deze aanvallen met het ‘uitproberen’ van gebruikersnamen en wachtwoorden willen de cybercriminelen vooral inloggegevens ontfutselen om toegang te krijgen tot devices en de achterliggende systemen
In de nu aangemerkte campagne gebruiken de cybercriminelen een combinatie van geldige en generieke gebruikersnamen en richten zich daarbij op specifieke bedrijven. Welke bedrijven of organisaties dit zijn, is niet bekend. Ook is niet bekend welke cybercriminelen achter de aanvallen zitten.
Aanval op diensten van meerdere leveranciers
Cisco Talos geeft in zijn waarschuwing wel aan dat de aanvallers sinds 18 maart van dit jaar verschillende specifieke diensten gebruiken voor het uitvoeren van hun kwaadaardige activiteiten. Dit zijn diensten als TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy en Proxy Rack.
De aanvallers richten zich daarnaast ook op specifieke diensten van leveranciers. Naast het eigen Cisco Secure Firewall VPN zijn dit Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services en devices van Mikrotik, Draytek en Ubiquiti. Ook diensten van andere leveranciers die nu nog niet bekend zijn, kunnen worden misbruikt waarschuwen de securityexperts met nadruk.
Cisco Talos heeft op GitHub een lijst met indicators gepubliceerd die onder meer de misbruikte IP-adressen aangeven.
Link met eerdere aanvallen
De nieuwe brute force-aanvallen hebben mogelijk een link met aanvallen die ook in maart van dit jaar werden ontdekt. Toen publiceerden de securityexperts een waarschuwing voor een golf van zogenoemde ‘password-spraying’-aanvallen op specifiek Remote Access VPN (RAVPN)-diensten die op Cisco Secure Firewall-devices waren geconfigureerd.
Deze aanvallen richtten zich op veel gebruikersnamen met een beperkte set van veelgebruikte wachtwoorden in plaats van een grootschalige brute-force-aanval. Security-onderzoekers hebben deze aanval op basis van de aanvalspatronen en de doelwitten gelinkt aan het Brutus malware-botnet.
Lees ook: Google Cloud Run massaal misbruikt voor aanvallen op financiële instellingen