Sicherheitsforscher von EclecticIQ haben ein automatisiertes Brute-Forcing-Framework mit dem Namen „BRUTED“ entdeckt, nachdem sie die internen Chat-Logs der Ransomware-Gruppe BlackBasta genauer untersucht haben. Das Framework dient dem Zweck Edge-Netzwerkkomponenten wie Firewalls und VPNs zu knacken und ermöglicht es den Angreifern, Ransomware-Angriffe auf anfällige, dem Internet ausgesetzte Endpunkte zu skalieren, sobald sie sich Zugang zu einem Netzwerk verschafft haben.
Bereits im vergangenen Jahr gab es einige großangelegte Brute-Forcing- und Passwort-Spray-Angriffe auf diese Geräte. Und der Verdacht liegt nahe, dass BRUTED an einigen davon beteiligt gewesen sein könnte, da BlackBasta laut EclecticIQ die Plattform bereits seit 2023 nutzt, um groß angelegte Brute-Force- und Credential-Stuffing-Angriffe auf Edge-Netzwerkgeräte durchzuführen.
Die Analyse des Quellcodes zeigt, dass das Framework speziell für Brute-Force-Angriffe entwickelt wurde, die es auf Anmeldeinformationen bei VPN- und Remote-Access-Produkten wie SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) und WatchGuard SSL VPN abgesehen haben.
Das Framework sucht dabei nach öffentlich zugänglichen Edge-Networking-Geräten, die der Zielliste entsprechen, indem es Subdomänen auflistet, IP-Adressen auflöst und Endungen wie „.vpn“ oder „remote“ anhängt. Die Treffer werden anschließend an den Command-and-Control-Server (C2) zurückgemeldet. Sobald potenzielle Ziele identifiziert sind, ruft BRUTED mögliche Passwörter von einem Remote-Server ab und kombiniert sie mit lokal generierten vermuteten Passwortvarianten, um möglichst viele Authentifizierungsanfragen über mehrere CPU-Prozesse auszuführen.
Dem EclecticIQ-Bericht zufolge kann BRUTED Common Name (CN) und Subject Alternative Names (SAN) aus den SSL-Zertifikaten der Zielgeräte extrahieren, wodurch zusätzliche Passwortvorschläge auf der Grundlage der Domäne und der Namenskonventionen des Ziels generiert werden können.
Um sich zu Tarnen und der Entdeckung zu entgehen, verwendet das Framework eine Liste von SOCKS5-Proxys mit einem interessanten Domänennamen, der die Infrastruktur des Angreifers versteckt. Die Hauptinfrastruktur des Frameworks umfasst mehrere Server in Russland und ist unter dem Namen Proton66 (AS 198953) registriert.
Brute-Force-Angriffe sind an sich nichts Neues, doch Tools wie BRUTED rationalisieren Ransomware-Angriffe, indem sie mit minimalem Aufwand in viele Netzwerke auf einmal eindringen. So werden die Möglichkeiten für Bedrohungsakteure erhöht, Gewinn aus ihren Angriffen zu schlagen. Eine wichtige Verteidigungsstrategie gegen derartige Attacken besteht darin, starke, eindeutige Passwörter für alle Edge-Geräte und VPN-Konten zu vergeben und eine Multi-Faktor-Authentifizierung (MFA) zu verwenden, um den Zugriff zu blockieren, selbst wenn die Anmeldedaten kompromittiert wurden.
Bereits im vergangenen Jahr gab es einige großangelegte Brute-Forcing- und Passwort-Spray-Angriffe auf diese Geräte. Und der Verdacht liegt nahe, dass BRUTED an einigen davon beteiligt gewesen sein könnte, da BlackBasta laut EclecticIQ die Plattform bereits seit 2023 nutzt, um groß angelegte Brute-Force- und Credential-Stuffing-Angriffe auf Edge-Netzwerkgeräte durchzuführen.
Die Analyse des Quellcodes zeigt, dass das Framework speziell für Brute-Force-Angriffe entwickelt wurde, die es auf Anmeldeinformationen bei VPN- und Remote-Access-Produkten wie SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) und WatchGuard SSL VPN abgesehen haben.
Das Framework sucht dabei nach öffentlich zugänglichen Edge-Networking-Geräten, die der Zielliste entsprechen, indem es Subdomänen auflistet, IP-Adressen auflöst und Endungen wie „.vpn“ oder „remote“ anhängt. Die Treffer werden anschließend an den Command-and-Control-Server (C2) zurückgemeldet. Sobald potenzielle Ziele identifiziert sind, ruft BRUTED mögliche Passwörter von einem Remote-Server ab und kombiniert sie mit lokal generierten vermuteten Passwortvarianten, um möglichst viele Authentifizierungsanfragen über mehrere CPU-Prozesse auszuführen.
Dem EclecticIQ-Bericht zufolge kann BRUTED Common Name (CN) und Subject Alternative Names (SAN) aus den SSL-Zertifikaten der Zielgeräte extrahieren, wodurch zusätzliche Passwortvorschläge auf der Grundlage der Domäne und der Namenskonventionen des Ziels generiert werden können.
Um sich zu Tarnen und der Entdeckung zu entgehen, verwendet das Framework eine Liste von SOCKS5-Proxys mit einem interessanten Domänennamen, der die Infrastruktur des Angreifers versteckt. Die Hauptinfrastruktur des Frameworks umfasst mehrere Server in Russland und ist unter dem Namen Proton66 (AS 198953) registriert.
Brute-Force-Angriffe sind an sich nichts Neues, doch Tools wie BRUTED rationalisieren Ransomware-Angriffe, indem sie mit minimalem Aufwand in viele Netzwerke auf einmal eindringen. So werden die Möglichkeiten für Bedrohungsakteure erhöht, Gewinn aus ihren Angriffen zu schlagen. Eine wichtige Verteidigungsstrategie gegen derartige Attacken besteht darin, starke, eindeutige Passwörter für alle Edge-Geräte und VPN-Konten zu vergeben und eine Multi-Faktor-Authentifizierung (MFA) zu verwenden, um den Zugriff zu blockieren, selbst wenn die Anmeldedaten kompromittiert wurden.
