Desde hace un mes, los piratas informáticos han estado organizando un ataque de relleno de credenciales a gran escala contra múltiples redes privadas virtuales (vpn) casos en todo el mundo. Por el momento, es difícil decir quién está detrás del ataque o cuáles son los motivos, pero los investigadores tienen algunas pistas.
Según lo informado por Ars Técnica, el equipo de seguridad de Talos de Cisco advirtió recientemente sobre una campaña en curso en la que los atacantes siguen probando más de 2.000 nombres de usuario y unas 100 contraseñas contra diferentes VPN. Algunos de los productos en el punto de mira de los atacantes incluyen Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Mikrotik, Draytek y Ubiquiti; sin embargo, otros también podrían ser el objetivo.
Las víctimas están dispersas por todo el mundo y operan en varias verticales, lo que llevó a los investigadores a concluir que los atacantes no tienen un objetivo preferido, sino que están lanzando una red lo más amplia posible.
Creciendo en fuerza
«Dependiendo del entorno objetivo, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio», dijeron los investigadores en su informe. «El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga aumentando».
Si bien la evidencia no es concluyente, los investigadores creen que esto podría ser obra del mismo actor de amenazas que atacó a Cisco hace unas semanas. Basan esta suposición en el hecho de que existen “superposiciones técnicas” en la forma en que se llevaron a cabo los ataques y que en ambos casos se utilizó la misma infraestructura. En la campaña de Cisco, el objetivo era el reconocimiento, por lo que se especula que esta vez será lo mismo.
Las direcciones IP encontradas en el ataque anterior ya se agregaron a la lista de bloqueo de Cisco para su VPN, y se recomienda a las organizaciones preocupadas por estos ataques que hagan lo mismo con cualquier VPN de terceros que hayan implementado.