Tấn công Brute Force là một phương pháp bẻ khóa phổ biến, liên quan đến việc kẻ tấn công cố gắng “thử và đoán” tên người dùng và mật khẩu để đăng nhập trái phép vào hệ thống. Sau khi có quyền truy cập vào thông tin xác thực, kẻ tấn công có thể sử dụng chúng để chiếm quyền điều khiển thiết bị hoặc giành quyền truy cập vào mạng nội bộ.
Theo báo cáo, tất cả các cuộc tấn công dường như đều bắt nguồn từ TOR exit node và các đường hầm (tunnel) cũng như các proxy ẩn danh khác. Được biết, các tác nhân đe dọa đã sử dụng khoảng 4.000 địa chỉ IP để thực hiện các cuộc tấn công.
Nhóm tình báo mối đe dọa Cisco Talos cho biết: “Tùy thuộc vào môi trường mục tiêu, các cuộc tấn công Brute Force thành công có thể cho phép các tin tặc truy cập hệ thống mạng trái phép, khóa tài khoản hoặc tấn công từ chối dịch vụ. Lưu lượng truy cập liên quan đến các cuộc tấn công này đã tăng lên theo thời gian và có khả năng tiếp tục tăng”.
Một số dịch vụ được sử dụng để thực hiện các cuộc tấn công bao gồm TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxy, Nexus Proxy và Proxy Rack.
Các nhà nghiên cứu của Cisco Talos báo cáo rằng các dịch vụ sau đang được các tin tặc tích cực nhắm tới là: Cisco Secure Firewall VPN; Checkpoint VPN; Fortinet VPN; SonicWall VPN; RD Web Services; Miktrotik và Draytek.
Theo các nhà nghiên cứu, chiến dịch tấn công này không tập trung cụ thể vào các ngành hoặc khu vực cụ thể. Cisco Talos đã chia sẻ danh sách đầy đủ các dấu hiệu xâm phạm (IoC) cho hoạt động này trên GitHub, bao gồm địa chỉ IP của kẻ tấn công để đưa vào danh sách chặn cũng như danh sách tên người dùng và mật khẩu được sử dụng trong các cuộc tấn công Brute Force.
Vào cuối tháng 3/2024, Cisco đã cảnh báo một chiến dịch tấn công password-spraying nhắm vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa Cisco Secure Firewall.
Xác suất của các cuộc tấn công này sẽ rất hiệu quả đối với các tổ chức thiết lập chính sách mật khẩu yếu, nhắm mục tiêu vào nhiều tên người dùng bằng một tập hợp nhỏ mật khẩu thường được sử dụng.
Nhà nghiên cứu bảo mật Aaron Martin cho rằng các cuộc tấn công password-spraying là do một botnet phần mềm độc hại có tên là Brutus, dựa trên các kiểu tấn công và phạm vi nhắm mục tiêu được quan sát.
Vẫn chưa được xác minh liệu các cuộc tấn công mà Cisco cảnh báo mới đây có phải là sự tiếp nối của những cuộc tấn công trước đó hay không. Hiện Cisco vẫn chưa có phản hồi chính xác và cụ thể về nhận định này.
Dương Ngân
(Tổng hợp)
08:00 | 17/04/2024
16:00 | 15/04/2024
08:00 | 11/01/2024
16:00 | 15/04/2024
Trong hai ngày 09/4 và 11/4, lần lượt tại Hà Nội và Thành phố Hồ Chí Minh, Công ty Cổ phần Tin học Mi Mi (Mi2) đã tổ chức thành công Hội thảo "Bảo vệ dữ liệu Microsoft 365 quy mô lớn và chuẩn bị cho Copilot Generative AI".
07:00 | 29/03/2024
Trong tháng 3/2024, Microsoft, Adobe và Google lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
07:00 | 17/01/2024
GitLab đã phát hành các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng. Đáng lưu ý, một trong hai lỗ hổng được vá có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng.
16:00 | 18/12/2023
Nhóm tình báo mối đe dọa của Microsoft mới đây vừa cho biết nhóm tin tặc Cold River đã tiếp tục tham gia vào các hoạt động đánh cắp thông tin xác thực chống lại các mục tiêu có lợi ích chiến lược đối với Nga, đồng thời chỉ ra rằng nhóm này cũng cải thiện khả năng trốn tránh phát hiện của mình.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 04/05/2024
