Központosított támadási infrastruktúra és visszaélés a gyenge jelszavakkal
Az adatgyűjtés szerint a támadások több mint 10 000 különböző IP-címről indultak, főként az Egyesült Államok, Mexikó és Pakisztán területén lévő infrastruktúrák ellen. A rosszindulatú forgalom szinte teljes egészében egy, a német 3xK GmbH-hoz tartozó IP-tartományból származott, ami központosított felhőalapú infrastruktúrára utal. A vizsgálatok alapján a támadók gyakori felhasználónév–jelszó párosokat próbáltak ki, és főként a Firefox böngészőt utánozó automatizált próbálkozások érkeztek, ami szokatlan az ilyen támadásoknál.
Növekvő nyomás a VPN-kapukon
A próbálkozások egységes felhasználói felületet, kérésszerkezetet és időzítést mutattak, vagyis célzott, szkriptelt, jelszószóró támadásokról van szó a gyengén védett GlobalProtect-felületek azonosítására. Ugyanez a trend december 12-én a Cisco SSL VPN-kapukon is jelentkezett: a támadó IP-k száma 1 273-ra ugrott a megszokott 200 alatti értékről, ami 12 hét óta az első nagyszabású támadás volt ebben a körben.
Megelőzés és biztonsági lépések
A támadások során nem sérültek a rendszerek, kizárólag automatizált belépési kísérletekről van szó. A Palo Alto Networks és a GreyNoise szakértői megerősítik, hogy nincs bizonyíték arra, hogy a támadások bármely ismert sérülékenységhez kapcsolódnának. Mindenkinek ajánlott az erős jelszavak és a többfaktoros hitelesítés használata. A hálózati rendszergazdák számára javasolt a hálózati eszközök rendszeres auditálása, a gyanús bejelentkezések keresése és a rosszindulatú IP-címek tiltása.
