Изображение: recraft
Специалисты зафиксировали резкий рост атак методом перебора паролей на устройства SonicWall и Fortinet, при этом около 88% активности связано с инфраструктурой в регионе Ближнего Востока. По данным Barracuda, с февраля по март больше 56% подтверждённых инцидентов пришлись именно на попытки подбора учётных данных. Даже простые методы остаются рабочими, если давить на инфраструктуру массово и без остановки.
Атакующие прощупывают сетевые устройства, через которые открывается прямой вход в корпоративные системы. Значительная часть попыток не дала результата, системы защиты блокировали трафик или атаки приходились на несуществующие учётные записи.
Сама динамика при этом настораживает. Большая доля активности идёт через узлы в ближневосточном регионе, хотя это не обязательно означает, что атаки запускаются именно оттуда. Такие точки часто используют как промежуточные площадки, чтобы скрыть реальный источник.
Рост активности совпал по времени с обострением геополитической ситуации вокруг действий США и Израиля в отношении Ирана. В последние недели фиксировались атаки, которые связывают с иранскими группировками и которые направлены на компании в сфере критической инфраструктуры и медицинских технологий.
Отделить операции с государственным участием от атак ради денег становится всё сложнее. В индустрии отдельно отмечают возвращение группы Pay2Key, что усиливает ощущение смешения мотивов и участников.
Интерес злоумышленников к сетевому периметру объясняется просто. VPN-шлюзы и межсетевые экраны стоят на границе инфраструктуры, постоянно торчат в интернете и при этом дают прямой вход во внутренние системы. Лайла Мубашар, старший аналитик Barracuda, говорит, что злоумышленники системно проверяют устройства на слабые учётные данные. По её оценке, даже при большом числе неудач постоянное давление повышает шанс того, что одна ошибка в настройке или простой пароль откроют дверь внутрь.
Специалисты рекомендуют использовать сложные и уникальные пароли для всех сетевых устройств, подключать многофакторную аутентификацию для удалённого доступа, отслеживать повторяющиеся неудачные попытки входа и ограничивать доступ к административным интерфейсам по IP.
Оригинал публикации на сайте CISOCLUB: "Barracuda: наблюдается всплеск атак с применением грубой силы со стороны Ближнего Востока".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.