Масштабная атака методом перебора паролей затронула миллионы сетевых устройств по всему миру. По данным Shadowserver, злоумышленники используют почти 2,8 миллиона IP-адресов ежедневно в попытках подобрать учётные данные к устройствам Palo Alto Networks, Ivanti, SonicWall и других производителей.
Большая часть атакующих IP-адресов находится в Бразилии (1,1 млн), а также в Турции, России, Аргентине, Марокко и Мексике. Участвуют тысячи других стран, что указывает на глобальный масштаб атаки. Вектором нападения стали пограничные устройства безопасности — межсетевые экраны, VPN-шлюзы и прочие решения, обеспечивающие удалённый доступ, пишет Securitylab.
По информации Shadowserver, атака длится уже несколько недель, но недавно активность резко возросла. В атаках задействованы маршрутизаторы и IoT-устройства от MikroTik, Huawei, Cisco, Boa и ZTE, часто используемые в ботнетах. Применение таких устройств в атаке указывает на возможное участие крупной сети заражённых узлов или сервисов резидентных прокси.
Резидентные прокси позволяют злоумышленникам скрывать свою активность, используя IP-адреса реальных пользователей интернет-провайдеров. Это усложняет обнаружение и блокировку атакующих, так как их действия выглядят как обычный трафик. Хакеры могут направлять вредоносные запросы через корпоративные сети, используя их как узлы выхода.
Эксперты рекомендуют усилить защиту устройств, подверженных атаке. Важно сменить стандартные пароли на уникальные, включить многофакторную аутентификацию (MFA) и ограничить доступ только для доверенных IP-адресов. Также следует отключить веб-интерфейсы администрирования, если они не используются.