Один фреймворк — тысячи жертв: BRUTED автоматизирует атаки на корпоративные сети
Новый инструмент Black Basta ставит взлом VPN на поток.
Группировка Black Basta внедрила новый инструмент для взлома сетевых устройств под названием BRUTED. Фреймворк автоматизирует брутфорс-атаки устройства, доступные через интернет, такие как межсетевые экраны и VPN, что позволяет злоумышленникам масштабировать атаки с минимальными усилиями.
EclecticIQ выявила , что Black Basta использует BRUTED с 2023 года для автоматизированных атак на системы удалённого доступа. Инструмент ориентирован на подбор учетных данных к таким сервисам, как SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb и WatchGuard SSL VPN.
BRUTED осуществляет поиск уязвимых устройств в интернете, анализируя публичные домены и IP-адреса, а затем отправляет найденные цели на C2-сервер. Затем система использует пароли из удаленных баз в сочетании с локально сгенерированными вариантами для многопоточных атак на авторизацию.
Фреймворк также анализирует SSL-сертификаты целевых устройств, извлекая из них имена доменов и другие данные, которые могут использоваться для создания дополнительных вариантов паролей. Чтобы скрыть свою инфраструктуру, Black Basta применяет сеть прокси-серверов с маскировкой имен доменов.
Схема атаки Black Basta с использованием BRUTED (EclecticIQ)
Автоматизированные инструменты подбора паролей, такие как BRUTED, представляют серьёзную угрозу для корпоративных сетей. Чтобы минимизировать риски, специалисты рекомендуют:
— Использовать сложные и уникальные пароли для всех учётных записей VPN и устройств на границе сети.
— Обязательно включать многофакторную аутентификацию (MFA), которая предотвратит доступ даже в случае компрометации пароля.
— Следить за аномальными попытками входа в систему, включая массовые неудачные авторизации и попытки входа из неизвестных местоположений.
— Ограничивать частоту входов и устанавливать блокировку аккаунтов при подозрительных попытках авторизации.
— Регулярно обновлять программное обеспечение сетевых устройств, даже если инструмент не использует уязвимости, а только метод подбора паролей.
EclecticIQ опубликовала список IP-адресов и доменов, используемых BRUTED, который можно применить для настройки новых правил файрвола и блокировки известных вредоносных адресов.
В феврале неизвестный информатор выложил в сеть архив внутренних чатов группировки Black Basta. Пока неясно, является ли ExploitWhispers исследователем киберугроз, получившим доступ к серверу группировки, или бывшим участником, решившим раскрыть внутреннюю информацию. По предварительным данным, причиной утечки мог стать конфликт внутри группировки.