Die Forscher von
Cisco Talos warnen vor einer raschen Zunahme von Brute-Force-Angriffen – und das weltweit. Die Zahl nimmt demnach seit dem 18. März 2024 immer weiter zu, die Angriffe zielen auf eine Vielzahl an Diensten ab, darunter VPN und SSH sowie Authentifizierungsschnittstellen für Webanwendungen. Laut Cisco Talos sind unter anderem folgende Dienste betroffen: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, Sonicwall VPN, RD Web Services, Miktrotik, Draytek und Ubiquiti.
Je nach Zielumgebung können erfolgreiche Angriffe dieser Art zu unbefugtem Netzwerkzugang, Kontosperrungen oder Denial-of-Service-Bedingungen führen, schreiben die Forscher in einem
Blogbeitrag. Der mit diesen Angriffen verbundene Datenverkehr habe im Laufe der Zeit zugenommen und wird wahrscheinlich auch weiterhin zunehmen.
Auch in diesem Fall nutzen die Brute-Force-Angriffe zufällige Anmeldeinformationen, hinzu kommen aber wohl auch gültige Nutzerdaten. Zudem berichtet Cisco Talos, dass die Ziele der Angriffe wohl wahllos und nicht auf eine bestimmte Region oder Branche gerichtet sind.
Die Angriffe stammen vor allem von Tor Exit Nodes, aber auch von Proxy-Services wie VPN Gate, Ipidea Proxy, Space Probies und Nexus Proxy. Auf diesem Weg wird die tatsächliche Quelle verschleiert.
Über Github stellt
Cisco Talos IOCs (Indicator of compromise)
bereit, die unter anderem verwendete Usernamen und Passwörter der Attacken enthalten. Administratoren können diese blocken. Allerdings weisen die Forscher darauf hin, dass sich die IP-Adressen der Angriffe ändern dürften.
(sta)
