L’opération de ransomware Black Basta a créé un cadre automatisé de forçage brutal surnommé « BRUTED » pour violer les périphériques réseau périphériques tels que les pare-feu et les VPN.
Le framework a permis à BlackBasta de rationaliser l’accès initial au réseau et d’intensifier les attaques de ransomware sur les terminaux vulnérables exposés à Internet.
La découverte de BRUTED provient de la chercheuse d’EclecticIQ, Arda Büyükkaya, à la suite d’un examen approfondi des journaux de discussion internes divulgués par le gang de ransomwares.
Plusieurs rapports d’attaques brutales à grande échelle et d’attaques par pulvérisation de mots de passe contre ces appareils tout au long de 2024, dont certaines pourraient être liées à des opérations BRUTES ou d’origine similaire.
Automatisation du forçage brut
Büyükkaya dit que Black Basta utilise la plate-forme BRUTE automatisée depuis 2023 pour mener des attaques à grande échelle de bourrage d’informations d’identification et de force brute sur les périphériques réseau périphériques.
L’analyse du code source indique que le framework a été spécialement conçu pour forcer brutalement les informations d’identification sur les produits VPN et d’accès à distance suivants: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, VPN SSL Fortinet, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Accès Web au bureau à distance) et VPN SSL WatchGuard.
L’infrastructure recherche les périphériques réseau périphériques accessibles au public correspondant à la liste des cibles en énumérant les sous-domaines, en résolvant les adresses IP et en ajoutant des préfixes tels que ‘.vpn ‘ ou ‘ à distance. Les correspondances sont rapportées au serveur de commande et de contrôle (C2).
Une fois les cibles potentielles identifiées, BRUTED récupère les mots de passe candidats à partir d’un serveur distant et les combine avec des suppositions générées localement pour exécuter de nombreuses demandes d’authentification via plusieurs processus CPU.
Büyükkaya a partagé le code source avec Breachtrace, qui montre comment l’outil utilise des en-têtes de requête et des agents utilisateurs spécifiques pour chaque appareil ciblé dans les attaques par force brute.
Le rapport EclecticIQ indique que BRUTED peut extraire le Nom commun (CN) et les Noms alternatifs de sujet (SAN) des certificats SSL des appareils ciblés, ce qui permet de générer des suppositions de mot de passe supplémentaires en fonction du domaine et des conventions de dénomination de la cible.
Pour échapper à la détection, le framework utilise une liste de proxys SOCKS5 avec un nom de domaine intéressant qui cache l’infrastructure de l’attaquant derrière une couche intermédiaire.
Son infrastructure principale comprend plusieurs serveurs en Russie et est enregistrée sous Proton66 (AS 198953).
Les journaux de discussion divulgués ont également révélé des discussions internes sur les temps d’arrêt des serveurs en raison de frais impayés, qui ont ensuite été renouvelés, nous donnant un aperçu des opérations quotidiennes auxquelles les gangs de ransomwares doivent faire face.
Défense contre le forçage brutal
Des outils comme BRUTED rationalisent les opérations de ransomware en violant de nombreux réseaux à la fois avec un minimum d’effort, augmentant les opportunités de monétisation pour les auteurs de menaces.
Une stratégie de défense clé consiste à appliquer des mots de passe forts et uniques pour tous les appareils périphériques et comptes VPN et à utiliser l’authentification multifacteur (MFA) pour bloquer l’accès même lorsque les informations d’identification sont compromises.
Il est également crucial de surveiller les tentatives d’authentification à partir d’emplacements inconnus et les échecs de connexion à volume élevé et de mettre en œuvre des stratégies de limitation de débit et de verrouillage de compte.
ElecticIQ a partagé une liste d’adresses IP et de domaines utilisés par BRUTED qui peuvent être utilisés pour créer de nouvelles règles de pare-feu qui bloquent les demandes provenant d’une infrastructure malveillante connue.
Bien que BRUTED n’exploite aucune vulnérabilité pour violer les périphériques périphériques du réseau, il est toujours crucial de maintenir ces périphériques à jour en appliquant les dernières mises à jour de sécurité.