The Shadowserver Foundation попереджає про масштабну брутфорс-кампанію, у якій задіяно майже 2,8 млн IP-адрес. Невідомі зловмисники прагнуть підібрати облікові дані для широкого спектра мережевих девайсів, включно з пристроями Palo Alto Networks, Ivanti і SonicWall.

За даними фахівців, брутфорс-атаки почалися ще минулого місяця, але нещодавно вони набули значного розмаху: у них щодня беруть участь майже 2,8 млн IP-адрес. Більшість із них (1,1 млн) пов’язані з Бразилією, за якою йдуть Туреччина, Аргентина, Марокко, Мексика, а також інші країни.

Дослідники зазначають, що атакуючі IP-адреси розподілені по багатьом мережам і AS, і ймовірно, входять до складу якогось ботнету або пов’язані з резидентними проксі.

Пристрої, що здійснюють атаки, в основному являють собою маршрутизатори MikroTik, Huawei, Cisco, Boa і ZTE, а також різні IoT-девайси, які часто стають жертвами ботнетів.

Цілями атак є захисні пристрої, такі як брандмауери, VPN, шлюзи, часто доступні через інтернет для забезпечення віддаленого доступу. За словами дослідників, такі пристрої можуть цікавити зловмисників як вихідні вузли для резидентних проксі: з їхньою допомогою злочинці зможуть направляти шкідливий трафік через корпоративні мережі організацій. Подібні вузли зазвичай вважаються «високоякісними», оскільки організації мають хорошу репутацію, і атаки стає складніше виявити і зупинити.

Нагадаємо, що торік фахівці Cisco попереджали про схожу масштабну брутфорс-кампанію, націлену на пристрої Cisco, CheckPoint, Fortinet, SonicWall і Ubiquiti по всьому світу.