Tấn công Brute Force là một phương pháp bẻ khóa phổ biến, liên quan đến việc kẻ tấn công cố gắng “thử và đoán” tên người dùng và mật khẩu để đăng nhập trái phép vào hệ thống. Sau khi có quyền truy cập vào thông tin xác thực, kẻ tấn công có thể sử dụng chúng để chiếm quyền điều khiển thiết bị hoặc giành quyền truy cập vào mạng nội bộ.
Theo báo cáo, tất cả các cuộc tấn công dường như đều bắt nguồn từ TOR exit node và các đường hầm (tunnel) cũng như các proxy ẩn danh khác. Được biết, các tác nhân đe dọa đã sử dụng khoảng 4.000 địa chỉ IP để thực hiện các cuộc tấn công.
Nhóm tình báo mối đe dọa Cisco Talos cho biết: “Tùy thuộc vào môi trường mục tiêu, các cuộc tấn công Brute Force thành công có thể cho phép các tin tặc truy cập hệ thống mạng trái phép, khóa tài khoản hoặc tấn công từ chối dịch vụ. Lưu lượng truy cập liên quan đến các cuộc tấn công này đã tăng lên theo thời gian và có khả năng tiếp tục tăng”.
Một số dịch vụ được sử dụng để thực hiện các cuộc tấn công bao gồm TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxy, Nexus Proxy và Proxy Rack.
Các nhà nghiên cứu của Cisco Talos báo cáo rằng các dịch vụ sau đang được các tin tặc tích cực nhắm tới là: Cisco Secure Firewall VPN; Checkpoint VPN; Fortinet VPN; SonicWall VPN; RD Web Services; Miktrotik và Draytek.
Theo các nhà nghiên cứu, chiến dịch tấn công này không tập trung cụ thể vào các ngành hoặc khu vực cụ thể. Cisco Talos đã chia sẻ danh sách đầy đủ các dấu hiệu xâm phạm (IoC) cho hoạt động này trên GitHub, bao gồm địa chỉ IP của kẻ tấn công để đưa vào danh sách chặn cũng như danh sách tên người dùng và mật khẩu được sử dụng trong các cuộc tấn công Brute Force.
Vào cuối tháng 3/2024, Cisco đã cảnh báo một chiến dịch tấn công password-spraying nhắm vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa Cisco Secure Firewall.
Xác suất của các cuộc tấn công này sẽ rất hiệu quả đối với các tổ chức thiết lập chính sách mật khẩu yếu, nhắm mục tiêu vào nhiều tên người dùng bằng một tập hợp nhỏ mật khẩu thường được sử dụng.
Nhà nghiên cứu bảo mật Aaron Martin cho rằng các cuộc tấn công password-spraying là do một botnet phần mềm độc hại có tên là Brutus, dựa trên các kiểu tấn công và phạm vi nhắm mục tiêu được quan sát.
Vẫn chưa được xác minh liệu các cuộc tấn công mà Cisco cảnh báo mới đây có phải là sự tiếp nối của những cuộc tấn công trước đó hay không. Hiện Cisco vẫn chưa có phản hồi chính xác và cụ thể về nhận định này.
Dương Ngân
(Tổng hợp)
08:00 | 17/04/2024
16:00 | 15/04/2024
08:00 | 11/01/2024
14:00 | 26/03/2024
Công ty sản xuất phần mềm Atlassian (Úc) phát hành các bản vá bảo mật để giải quyết hơn 20 lỗ hổng, bao gồm một lỗ hổng nghiêm trọng ảnh hưởng đến Data Center và máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
08:00 | 08/03/2024
Mới đây, Meta - Công ty mẹ của Facebook đã vá một lỗ hổng nghiêm trọng có thể bị khai thác để chiếm quyền của bất kỳ tài khoản Facebook nào.
14:00 | 19/02/2024
Hợp doanh Accenture (Mỹ) và SandboxAQ cung cấp khả năng quản lý mật mã toàn diện dựa trên trí tuệ nhân tạo (AI), tận dụng Bộ bảo mật của SandboxAQ để cung cấp các giải pháp AI và điện toán lượng tử.
08:00 | 24/10/2023
Chatbot trí tuệ nhân tạo (AI) của Microsoft (Bing Chat) đang bị lạm dụng để phát tán mã độc thông qua các quảng cáo độc hại khi tìm kiếm các công cụ phổ biến.
Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 04/05/2024