Группировка Black Basta использует новый инструмент для взлома сетевых устройств — BRUTED. Фреймворк автоматизирует брутфорс-атаки устройства, доступные через интернет, такие как межсетевые экраны и VPN, что позволяет злоумышленникам масштабировать атаки с минимальными усилиями.
BRUTED осуществляет поиск уязвимых устройств в интернете, анализируя публичные домены и IP-адреса, а затем отправляет найденные цели на C2-сервер. Затем система использует пароли из удалённых баз в сочетании с локально сгенерированными вариантами для многопоточных атак на авторизацию.
Новый инструмент ориентирован на подбор учётных данных к таким сервисам, как SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb и WatchGuard SSL VPN.
Фреймворк также анализирует SSL-сертификаты целевых устройств, извлекая из них имена доменов и другие данные, которые могут использоваться для создания дополнительных вариантов паролей. Чтобы скрыть свою инфраструктуру, Black Basta применяет сеть прокси-серверов с маскировкой имён доменов.
«Хотя методы инструмента Bruted — перебор грубой силой — стары как мир, но фактически Black Basta поставили процесс подбора паролей на конвейер, а это масштабирование атак и сокращение временных затрат на компрометацию. Помимо многопоточной брутфорс-атаки, фреймворк Bruted включает функционал массового сканирования IP-адресов, анализирует данные SSL, доменные имена. Такой низкий порог входа для злоумышленников предотвратить не так уж и просто, а взлом VPN — это endgame для корпоративной сети, так как злоумышленник сможет расширять своё присутствие, распространять вымогателей и похищать данные. Помимо сложной парольной политики, и в частности уникальных паролей для VPN, МЭ, RDP-шлюзов, обеспечение регулярного аудита, использование MFA, в корпоративной сети следует развернуть систему расширенной аналитики с поведенческими модулями. ПК Ankey ASAP идентифицирует процесс многопоточной попытки подбора пароля как аномалию и незамедлительно информирует оператора о потенциальной вредоносной активности», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.
DeFi-протокол Kelp DAO сообщил о подозрительной cross-chain активности с rsETH и остановил контракты токена в основной сети Ethereum и нескольких L2.
Исследователи обнаружили кампанию FakeWallet, в рамках которой в App Store размещались фишинговые iOS-приложения, маскирующиеся под популярные криптокошельки.
Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле.
21 апреля в РТУ МИРЭА прошло годовое собрание Ассоциации разработчиков программных продуктов «Отечественный софт».
Исследователи из НИЯУ МИФИ разработали инновационную архитектуру нейросети MambaShield, способную сохранять высокую точность работы даже в условиях целенаправленных кибератак на обучающие выборки.
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho: по данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа.
Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay.
Французское агентство France Titres, ранее ANTS, подтвердило инцидент безопасности на портале ants.
Российский разработчик технологий кибербезопасности F6 предупредил о распространении опасного инфостилера WeedHack, замаскированного под популярные модификации для Minecraft.
ПАО «ВымпелКом» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети.
