The Shadowserver Foundation ha rilevato un imponente attacco di forza bruta che utilizza circa 2,8 milioni di indirizzi IP al giorno per scoprire le credenziali di numerosi dispositivi di rete, tra cui quelli venduti da Palo Alto Networks, Ivanti e SonicWall. Lo scopo è ovviamente ottenere il controllo remoto per future attività illecite.
Botnet o proxy residenziali
Un attacco brute force (forza bruta) consiste nel tentare ripetutamente l’accesso ad un account o ad un dispositivo (come in questo caso) usando varie combinazioni username/password finché non viene trovata quella corretta. I cybercriminali sfruttano spesso un elenco di password note perché molti utenti non cambiano quella predefinita.
L’attacco monitorato da fine gennaio da The Shadowserver Foundation sfrutta quasi 2,8 milioni di indirizzi IP al giorno. La maggioranza di essi (circa 1,1 milioni) proviene dal Brasile, seguito da Turchia, Russia, Argentina, Marocco e Messico, ma sono molti i paesi che partecipano all’attività.
I bersagli sono principalmente i dispositivi di sicurezza (firewall, gateway, VPN) che proteggono la rete aziendali. I dispositivi usati invece per eseguire l’attacco sono soprattutto i router di MikroTik, Huawei, Cisco, Boa, ZTE, ASUS e TP-Link che vengono controllati dai cybercriminali.
I suddetti dispositivi (e quindi i rispettivi indirizzi IP) appartengono quasi certamente ad una botnet. Alcuni potrebbero essere proxy residenziali, ovvero router domestici compromessi che vengono usati per nascondere la provenienza dell’attacco.
È consigliato l’uso di password robuste (non quella predefinita), l’attivazione dell’autenticazione multi-fattore, la creazione di una whitelist di indirizzi IP e la disattivazione dell’interfaccia web di amministrazione. Ovviamente deve essere installato l’ultimo firmware disponibile. Se il dispositivo non viene più aggiornato da anni deve essere sostituito.
Ti potrebbe interessare
10 feb 2025