Nas últimas semanas, uma série de ataques cibernéticos visando os VPNs de empresas foi detectada, destacando uma estratégia de reconhecimento orquestrada por cibercriminosos. Esses ataques exploram infraestruturas legítimas para mapear os acessos VPN expostos, sublinhando mais uma vez a necessidade de uma vigilância reforçada na proteção das redes empresariais.
As 3 informações a não perder
- Desde o início de dezembro, um aumento nas tentativas de conexão foi observado nos portais GlobalProtect da Palo Alto e nas APIs SonicWall.
- Mais de sete mil endereços IP, provenientes da infraestrutura da 3xK GmbH, estiveram envolvidos nesses ataques.
- GreyNoise identificou assinaturas técnicas recorrentes, sugerindo uma operação contínua de mapeamento dos acessos VPN e dos firewalls.
Os ataques nos portais VPN
No início de dezembro, um aumento notável nas tentativas de conexão foi observado nos portais GlobalProtect, um serviço VPN amplamente utilizado nas empresas. Esses ataques provinham principalmente da infraestrutura da 3xK GmbH, um fornecedor legítimo cujos alguns servidores foram desviados para conduzir essa operação coordenada.
Embora isso possa parecer um incidente isolado, os analistas rapidamente identificaram um padrão recorrente, já observado entre setembro e outubro. As mesmas assinaturas técnicas foram notadas, apesar de uma mudança completa de infraestrutura, indicando um esforço contínuo de reconhecimento por parte dos cibercriminosos.
Um alvo ampliado para os firewalls SonicWall
Em 3 de dezembro, os ataques evoluíram para também visar as interfaces de gestão dos firewalls SonicWall. As mesmas impressões técnicas foram usadas, reforçando a hipótese de um único ator ampliando seu campo de ação. Essa evolução destaca o crescente interesse dos cibercriminosos pelos dispositivos de segurança online.
Os ataques não revelam vulnerabilidades imediatas, mas destacam o papel essencial dos VPNs e dos firewalls na proteção das redes. Isso requer uma vigilância contínua para detectar comportamentos anormais e ajustar as políticas de segurança em conformidade.
Recomendações para reforçar a segurança
Diante dessa ameaça persistente, os administradores de redes são encorajados a reforçar o controle das superfícies de autenticação de seus VPNs e firewalls. A implementação da autenticação multifator é fortemente recomendada para reduzir a eficácia dos ataques baseados em credenciais comprometidas.
Além disso, o uso de senhas únicas e fortes pode prevenir a exploração de vazamentos de credenciais. Um acompanhamento atento das tentativas repetidas de conexão é crucial para detectar precocemente esse tipo de campanha e minimizar seu impacto potencial.
Contexto e histórico de Palo Alto e SonicWall
Palo Alto Networks é uma empresa americana fundada em 2005, especializada em cibersegurança. É conhecida por suas soluções inovadoras de proteção de redes, incluindo seus firewalls e serviços VPN, que são amplamente adotados em todo o mundo.
SonicWall, por sua vez, é uma empresa que surgiu em 1991 e se estabeleceu como um ator importante no campo das soluções de segurança informática. Seus firewalls e sistemas de prevenção de intrusões são usados por muitas empresas para proteger suas infraestruturas digitais contra ameaças externas.