Ataque de força bruta contra dispositivos de rede usa 2,8 milhões de endereços IP; maioria é do Brasil

Um ataque de força bruta de grande escala está usando 2,8 milhões de endereços IP para tentar quebrar senhas de dispositivos de rede de empresas como Palo Alto Networks, SonicWall e Ivanti. A maior parte deles é do Brasil, conforme apontou a plataforma de monitoramento de ameaças The Shadowserver Foundation na sexta-feira (7).

São cerca de 1,1 milhão de endereços IP de origem brasileira envolvidos na atividade que ocorre há algum tempo e teve a intensidade aumentada no mês passado, segundo o relatório. Turquia, Rússia, Marrocos e México também estão entre os países com mais dispositivos participando da campanha maliciosa.

• Leia também: Botnet: roteadores da MikroTik hackeados são usados para espalhar malware

Esses IPs estão distribuídos por muitas redes e sistemas autônomos, provavelmente fazendo parte de uma botnet, após serem “sequestrados” pelos cibercriminosos. Também é possível que estejam em uma operação associada a redes proxy residenciais, bastante utilizadas em ataques cibernéticos, raspagem de dados e outras ações.

De acordo com a Shadowserver, os dispositivos usados nesta operação são, principalmente, roteadores e soluções de IoT das marcas MikroTik, Cisco, Boa, Huawei e ZTE. Tais aparelhos podem ser comprometidos por grandes redes de computadores infectados por malware, possibilitando o controle à distância.

Testando diferentes combinações

Em ataques de força bruta como este atualmente em andamento, os autores tentam efetuar login em uma conta ou dispositivo diversas vezes, testando diferentes combinações de nomes de usuário e senha. Ao descobrir a credencial correta, eles podem obter acesso a uma determinada rede ou controlar o equipamento remotamente.

A proteção contra esse tipo de campanha contempla a modificação da senha padrão de administrador do dispositivo, optando por um código forte e exclusivo, e a ativação da autenticação multifator. Também é importante criar uma lista de IPs confiáveis e desabilitar interfaces de administração da web caso não sejam necessárias.

• Saiba mais: Brutal: Cloudflare bloqueou ataque DDoS de 5,6 Tbps

Especialistas recomendam, ainda, manter o dispositivo atualizado com o firmware mais recente, método essencial para corrigir eventuais vulnerabilidades que podem ser exploradas pelos invasores.