セキュリティ研究者は、SonicWallおよびFortinet デバイスをハイジャックしようとするブルートフォース攻撃の「急激な増加」を検出しており、大多数(88%)が中東から発生しているようです。
Barracudaは、これらの試みのほとんどはセキュリティツールによって直接ブロックされるか、無効なユーザー名に向けられたため、成功していないと述べました。
これらの攻撃は単に地域内のサーバーとネットワークを経由してルーティングされている可能性がありますが、タイミングは米国およびイスラエルのイランに対する敵対行為と一致しているように見えます。
最近数週間にイラン関連のハッカーからの攻撃に関する様々な報告があり、米国の重要インフラ提供者および医療技術企業への襲撃が含まれています。
国家支援の取り組みと経済的動機によるサイバー犯罪の間の線引きはますますぼやけており、Pay2Keyランサムウェアグループの再出現がその証拠です。
中東の脅威について詳しく読む:ハイブリッド中東紛争がグローバルなサイバー活動の急増を引き起こす。
エッジデバイス(SonicWall やFortinet などのベンダーによって製造されたVPNおよびファイアウォールアプライアンスなど)は、インターネットに面しながらも企業ネットワーク内への足がかりを提供するため、人気のある攻撃対象です。
Barracudaは、2月から3月の確認されたすべてのインシデントの50%以上(56%)がこのタイプのブルートフォース攻撃に関連していると述べました。
「攻撃者は弱いまたは公開された認証情報のペリメータデバイスを積極的にスキャンおよびテストしています」とBarracudaシニアサイバーセキュリティアナリストのLaila Mubasharは警告しました。「攻撃が失敗したとしても、継続的なプローブは単一の弱いパスワードまたは誤設定が侵害につながるリスクを高めます。」
彼女は組織に次のことを強く求めました:
- すべてのネットワークおよびセキュリティデバイスに強力でユニークなパスワードを強制する
- すべてのVPN、ファイアウォール、およびリモートアクセスサービスで多要素認証(MFA)を有効にする
- 繰り返される失敗したログイン試行を監視および調査する
- 管理インターフェースを、可能な限り信頼できるIPレンジに制限する
ClickFix攻撃の増加
Barracudaはまた、「ClickFix」として知られるソーシャルエンジニアリング攻撃のカテゴリーの急増について警告を発しました。これは、ユーザーが存在しない技術的問題を修正するために悪質なスクリプトをコピーして実行するよう騙される攻撃です。
Mubasharは、そのような攻撃はユーザーの信頼と不安を悪用していると説明しました。
「攻撃者はポップアップ、プロンプト、修正の実行などの親しみやすい要素と言語を使用します」と彼女は付け加えました。「ClickFix攻撃はユーザーに悪質なコマンドを自分で追加させることに依存しているため、そのような攻撃は自動化されたセキュリティシステムが検出するのがより難しいです。」
組織はエンドユーザーの教育を改善し、PowerShell、スクリプト、またはコマンドラインツールを実行できるユーザーを制限し、異常な動作を監視するためのツールを導入すべきであると、Barracudaは助言しました。
翻訳元: https://www.infosecurity-magazine.com/news/researchers-surge-bruteforce/
