W ostatnich tygodniach wykryto serię ataków informatycznych wymierzonych w firmowe VPN, co ujawnia strategię rozpoznawczą zorganizowaną przez cyberprzestępców. Ataki te wykorzystują legalną infrastrukturę do mapowania narażonych na ataki dostępów VPN, co ponownie podkreśla konieczność zwiększonej czujności w ochronie sieci firmowych.
3 informacje, których nie można przegapić
- Od początku grudnia zaobserwowano wzrost prób logowania na portalach GlobalProtect firmy Palo Alto oraz API SonicWall.
- W te ataki zaangażowanych było ponad siedem tysięcy adresów IP pochodzących z infrastruktury 3xK GmbH.
- GreyNoise zidentyfikował powtarzające się sygnatury techniczne, sugerujące ciągłą operację mapowania dostępu do VPN i zapór sieciowych.
Ataki na portale VPN
Na początku grudnia zaobserwowano znaczny wzrost prób logowania na portalach GlobalProtect, szeroko stosowanej usługi VPN w firmach. Ataki te pochodziły głównie z infrastruktury 3xK GmbH, legalnego dostawcy, którego niektóre serwery zostały przejęte do przeprowadzenia tej skoordynowanej operacji.
Chociaż może się to wydawać odosobnionym incydentem, analitycy szybko zidentyfikowali powtarzający się schemat, już obserwowany między wrześniem a październikiem. Zauważono te same sygnatury techniczne, mimo całkowitej zmiany infrastruktury, co wskazuje na ciągły wysiłek rozpoznawczy cyberprzestępców.
Rozszerzone celowanie na zapory SonicWall
3 grudnia ataki ewoluowały, aby również celować w interfejsy zarządzania zaporami SonicWall. Użyto tych samych sygnatur technicznych, co wzmacnia hipotezę jednego aktora rozszerzającego swoje pole działania. Ta ewolucja podkreśla rosnące zainteresowanie cyberprzestępców urządzeniami zabezpieczającymi online.
Ataki nie ujawniają natychmiastowych luk, ale podkreślają kluczową rolę VPN i zapór sieciowych w ochronie sieci. Wymaga to ciągłego monitorowania w celu wykrywania nieprawidłowych zachowań i dostosowywania polityk bezpieczeństwa w odpowiedzi.
Zalecenia dotyczące wzmocnienia bezpieczeństwa
W obliczu tego trwałego zagrożenia administratorzy sieci są zachęcani do wzmocnienia kontroli powierzchni uwierzytelniania swoich VPN i zapór sieciowych. Zdecydowanie zaleca się wdrożenie uwierzytelniania wieloskładnikowego w celu zmniejszenia skuteczności ataków opartych na skompromitowanych danych uwierzytelniających.
Ponadto stosowanie unikalnych i silnych haseł może zapobiec wykorzystaniu wycieków danych uwierzytelniających. Uważne śledzenie powtarzających się prób logowania jest kluczowe dla wczesnego wykrywania tego typu kampanii i minimalizowania jej potencjalnego wpływu.
Kontekst i historia Palo Alto i SonicWall
Palo Alto Networks to amerykańska firma założona w 2005 roku, specjalizująca się w cyberbezpieczeństwie. Jest znana z innowacyjnych rozwiązań w zakresie ochrony sieci, w tym zapór sieciowych i usług VPN, które są szeroko stosowane na całym świecie.
SonicWall z kolei to firma, która powstała w 1991 roku i stała się kluczowym graczem w dziedzinie rozwiązań bezpieczeństwa informatycznego. Jej zapory sieciowe i systemy zapobiegania włamaniom są używane przez wiele firm do ochrony ich infrastruktury cyfrowej przed zagrożeniami zewnętrznymi.