Home
» Wiki
»
Detectado ataque de fuerza bruta a gran escala que utiliza 2,8 millones de IP dirigido a dispositivos VPN
Detectado ataque de fuerza bruta a gran escala que utiliza 2,8 millones de IP dirigido a dispositivos VPN
Investigadores de seguridad de todo el mundo advierten sobre un ataque de fuerza bruta a gran escala que está en curso, utilizando casi 2,8 millones de direcciones IP para intentar adivinar las credenciales de inicio de sesión de una variedad de dispositivos de red, incluidos los de Palo Alto Networks, Ivanti y SonicWall.
Un ataque de fuerza bruta ocurre cuando los actores de amenazas intentan iniciar sesión en una cuenta o dispositivo varias veces utilizando múltiples nombres de usuario y contraseñas hasta que encuentran la combinación correcta. Una vez que tengan las credenciales correctas, pueden tomar el control del dispositivo o acceder a la red.
Según un nuevo informe de la plataforma de monitoreo de amenazas The Shadowserver Foundation, desde el mes pasado se viene produciendo un ataque de fuerza bruta, que utiliza casi 2,8 millones de direcciones IP de origen por día para llevar a cabo los ataques.
La mayoría de esas direcciones IP (1,1 millones) procedían de Brasil, seguido de Turquía, Rusia, Argentina, Marruecos y México. Pero en general hay muchos países involucrados en esta actividad.
Los objetivos principales son los dispositivos de seguridad perimetral, como firewalls, VPN, puertas de enlace y otros componentes de seguridad, que a menudo están conectados directamente a Internet para admitir el acceso remoto.
Los dispositivos que llevan a cabo estos ataques son principalmente enrutadores y dispositivos IoT de MikroTik, Huawei, Cisco, Boa y ZTE. Estos son los dispositivos que a menudo se ven comprometidos por botnets de malware a gran escala. La Fundación Shadowserver confirmó que esta actividad viene ocurriendo desde hace algún tiempo pero que recientemente ha aumentado repentinamente a una escala mucho mayor.
ShadowServer también dijo que las direcciones IP del ataque estaban distribuidas en múltiples redes y sistemas autónomos (AS), y probablemente se trataba de una botnet o de una operación relacionada con una red proxy residencial.
Los proxies residenciales son direcciones IP asignadas a clientes individuales por los proveedores de servicios de Internet (ISP), lo que los hace atractivos para los ciberdelincuentes, la recopilación de datos, la evasión de restricciones geográficas, la verificación de publicidad, las transacciones en línea y más.
Estos servidores proxy dirigen el tráfico de Internet a través de redes residenciales, haciendo que los usuarios parezcan miembros normales de la familia en lugar de bots, recopiladores de datos o piratas informáticos.
Los dispositivos de enlace como los que son el objetivo de esta operación se pueden utilizar como nodos de salida de proxy en operaciones de proxy residencial, enrutando tráfico malicioso a través de la red corporativa de una organización.
Medidas para proteger los dispositivos de ataques de fuerza bruta
Para proteger los dispositivos perimetrales de ataques de fuerza bruta, se deben seguir los siguientes pasos:
Cambie la contraseña de administrador predeterminada por una contraseña segura y única.
Implementar la autenticación multifactor (MFA).
Utilice una lista blanca de IP confiables.
Deshabilite la interfaz de administración web si no es necesaria.
Además, es importante mantener el dispositivo actualizado con el último firmware y parches de seguridad para eliminar vulnerabilidades que los atacantes pueden aprovechar para obtener acceso inicial.