VPN-сервисы подверглись атаке по всему миру
Злоумышленники атакуют сети по всему миру миллионами попыток входа в систему. Масштабная кампания по компрометации учетных данных направлена на VPN, SSH и веб-приложения.
Эксперты по безопасности Cisco Talos предупредили об атаке на сети с целью получения доступа к учетным записям VPN, SSH и веб-приложений.
Атаки носят беспорядочный характер и не направлены на какой-то конкретный регион или отрасль. Для получения доступа злоумышленники используют различные комбинации действительных имен сотрудников определенных организаций и паролей.
Исследователи Talos рассказали, что данные атаки могут позволить хакерам получить доступ к сети и учетным записям пользователей.
Попытки взлома начались ещё 18 марта 2024 года и продолжают набирать обороты. Отследить злоумышленников очень трудно, так как атаки поступают с узлов выхода TOR и других анонимизирующих туннелей и прокси-серверов.
IP-адреса анонимизации принадлежат таким сервисам, как VPN Gate, TOR, Proxy Rack, Nexus Proxy, IPIDEA Proxy и другим.
Компания Talos сообщила, что атаке подверглись следующие сервисы:
Cisco Secure Firewall VPN; Checkpoint VPN; Fortinet VPN; SonicWall VPN; RD Web Services; Mikrotik; Draytek; Ubiquiti.
IP-адреса анонимайзеров, как выяснили исследователи, принадлежат следующим сервисам:
TOR VPN Gate IPIDEA Proxy BigMama Proxy Space Proxies Nexus Proxy Proxy Rack
Упомянутый выше перечень IP-адресов Cisco добавила в список блокировки для своих VPN-продуктов. С полным списком индикаторов компрометации можно ознакомиться здесь.
Компания также опубликовала список рекомендаций, которые помогут пользователям обезопасить себя от атак:
блокировать попытки подключения из перечисленных вредоносных источников; включение подробного протоколирования, чтобы администраторы могли распознавать и соотносить атаки на различных конечных точках сети; защита учетных записей удаленного доступа по умолчанию путем их блокировки; внедрение системы контроля и управления доступом на уровне интерфейса.