Ransomware Black Basta: Novi Alat za Napade na Mrežne Uređaje
Skandalozni akteri ransomwarea Black Basta razvili su automatizirani okvir za brute-force napade na vatrozide, VPN-ove i druge mrežne uređaje. Alat pod nazivom “BRUTED” koristi se već nekoliko godina, prema istraživačima kibernetičke sigurnosti iz EclecticIQ-a, koji su pregledavali nedavno procurjele chat logove grupe Black Basta. Ovi podaci su procurjeli i potom preneseni na GPT radi lakše analize.
Što je alat BRUTED i kako funkcionira?
Osim što se koristi za analizu strukture, organizacije i aktivnosti grupe, istraživači su iskoristili ovaj alat kako bi identificirali i njegove mogućnosti. Alat BRUTED navodno je aktivan od 2023. godine i koristi se u velikim napadima temeljenim na provale vjerodajnica i brute-force napadima.
- Ciljani uređaji uključuju:
- SonicWall NetExtender
- Palo Alto GlobalProtect
- Cisco AnyConnect
- Fortinet SSL VPN
- Citrix NetScaler (Citrix Gateway)
- Microsoft RDWeb (Remote Desktop Web Access)
- WatchGuard SSL VPN
BRUTED prvo identificira potencijalne žrtve tako da enumerira poddomene, razrješava IP adrese i dodaje prefikse kao što su “vpn” ili “remote”. Zatim povlači popis mogućih prijavnih vjerodajnica i kombinira ih s lokalno generiranim pretpostavkama, izvršavajući što više zahtjeva moguće. Kako bi suzio popis, BRUTED izdvaja Common Name (CN) i Subject Alternative Names (SAN) iz SSL certifikata ciljnih uređaja, navode istraživači.
Da bi ostao ispod radara, BRUTED koristi popis SOCKS5 proxy servera, iako se čini da je njegova infrastruktura smještena u Rusiji.
Kako se zaštititi od napada?
Kako bi se zaštitili od brute-force i napada temeljenih na provali vjerodajnica, tvrtke bi trebale poduzeti sljedeće mjere:
- Sve edge uređaje i VPN instance osigurati jakim, jedinstvenim lozinkama, koje sadrže najmanje osam znakova, uključujući velika i mala slova, brojeve i posebne znakove.
- Primijeniti višefaktorsku autentifikaciju (MFA) na svim mogućim računima.
- Primjenjivati filozofiju pristupa s nultim povjerenjem (ZTNA) ako je moguće.
U konačnici, praćenje mreže zbog pokušaja autentifikacije s nepoznatih lokacija i za brojne neuspješne pokušaje prijave izvrstan je način za otkrivanje napada.
Završna misao
Svjesnost o napadima poput onih od strane Black Basta i korištenje alata poput BRUTED naglašava važnost kibernetičke sigurnosti. Organizacije bi trebale stalno pratiti svoje sustave i implementirati učinkovite zaštitne mjere kako bi sačuvale svoje podatke i resurse. Ove strategije ne samo da pomažu u zaštiti, već i u očuvanju povjerenja klijenata i poslovnih partnera.
