Ransomware skupina Black Basta vytvořila automatizovaný rámec pro útoky hrubou silou nazvaný ‚BRUTED‘, který slouží k prolomení síťových zařízení na okraji, jako jsou firewally a VPN.

Tento rámec umožnil Black Basta zefektivnit počáteční přístup do sítí a rozšířit ransomware útoky na zranitelná zařízení připojená k internetu. Objev BRUTED pochází od výzkumníka EclecticIQ Ardy Büyükkayi, který provedl podrobnou analýzu uniklých interních chatovacích záznamů této ransomware skupiny.

Bylo hlášeno několik rozsáhlých útoků hrubou silou a útoků typu password spray na tato zařízení během roku 2024, z nichž některé mohou být spojeny s BRUTED nebo podobnými operacemi.

Büyükkaya uvádí, že Black Basta používá automatizovanou platformu BRUTED od roku 2023 k provádění rozsáhlých útoků hrubou silou a útoků typu credential-stuffing na síťová zařízení na okraji.

Analýza zdrojového kódu ukazuje, že rámec byl specificky navržen k prolomení přihlašovacích údajů na následujících VPN a produktech pro vzdálený přístup: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) a WatchGuard SSL VPN.

Rámec vyhledává veřejně přístupná síťová zařízení na okraji odpovídající seznamu cílů tím, že enumeruje subdomény, řeší IP adresy a přidává předpony jako ‚.vpn‘ nebo ‚remote‘. Shody jsou hlášeny zpět na server pro řízení a kontrolu (C2).

Jakmile jsou identifikovány potenciální cíle, BRUTED získává kandidáty na hesla z vzdáleného serveru a kombinuje je s lokálně generovanými odhady, aby provedl mnoho autentizačních požadavků prostřednictvím více procesů CPU.

Zdroj: BleepingComputer