Thought Leadership
Die Ransomware-Gruppierung BlackBasta hat ein mächtiges Tool zur Automatisierung von Brute-Force-Angriffen auf Edge-Netzwerkgeräte wie Firewalls und VPNs entwickelt. Das Framework mit dem Namen „BRUTED“ erlaubt es den Angreifern, gezielt Zugangsdaten zu knacken und so Ransomware-Attacken auf verwundbare Netzwerke zu skalieren.
BlackBasta und die Entwicklung von BRUTED
Sicherheitsforscher von EclecticIQ stießen auf das Tool, als sie interne Chat-Logs der Gruppe untersuchten. Ihre Analyse zeigt, dass BRUTED bereits seit 2023 aktiv ist und großangelegte Angriffe auf verschiedene Remote-Access-Produkte durchführt. Zu den betroffenen Systemen zählen unter anderem SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb und WatchGuard SSL VPN.
Funktionsweise des Brute-Force-Frameworks
BRUTED identifiziert potenzielle Ziele, indem es öffentlich zugängliche Geräte anhand bestimmter Subdomänen oder IP-Adressen auflistet. Das Tool analysiert dabei spezifische Bezeichnungen wie „.vpn“ oder „remote“ und übermittelt Treffer an einen Command-and-Control-Server (C2). Sobald geeignete Ziele erkannt sind, ruft BRUTED Passwortlisten von einem externen Server ab, kombiniert diese mit lokal generierten Varianten und startet automatisierte Brute-Force-Attacken. Dabei nutzt das Framework mehrere CPU-Prozesse für eine möglichst hohe Effizienz.
Ein besonders gefährlicher Aspekt des Tools ist seine Fähigkeit, Common Name (CN) und Subject Alternative Names (SAN) aus SSL-Zertifikaten der Zielgeräte zu extrahieren. Dadurch kann es zusätzliche Passwortvorschläge auf Grundlage der Domain- und Namenskonventionen des Unternehmens generieren, um die Erfolgswahrscheinlichkeit der Angriffe zu erhöhen.
Verschleierungstaktiken und Infrastruktur der Angreifer
Um einer Entdeckung zu entgehen, verwendet BRUTED eine Liste von SOCKS5-Proxys mit unauffälligen Domain-Namen. Dadurch bleibt die wahre Infrastruktur der Angreifer verborgen. Laut den Analysen von EclecticIQ sind mehrere Server in Russland involviert, die unter dem Namen Proton66 (AS 198953) registriert sind. Dies deutet darauf hin, dass die Bedrohungsakteure gut organisiert sind und ihre Infrastruktur gezielt tarnen, um Verfolgung zu erschweren.
Bedrohungspotenzial und Schutzmaßnahmen
Brute-Force-Angriffe sind nicht neu, doch die Automatisierung durch BRUTED erhöht das Gefahrenpotenzial erheblich. Durch die Kombination von Skalierbarkeit, intelligenter Zielerkennung und effizienter Passwort-Generierung wird der Aufwand für Cyberkriminelle minimiert, während gleichzeitig die Erfolgsaussichten steigen.
Unternehmen und Organisationen sollten daher verstärkt auf Sicherheitsmaßnahmen setzen, um sich gegen solche Attacken zu schützen. Dazu gehören:
- Starke, eindeutige Passwörter für alle Edge-Geräte und VPN-Konten.
- Multi-Faktor-Authentifizierung (MFA), um unautorisierte Zugriffe zu verhindern, selbst wenn Zugangsdaten kompromittiert wurden.
- Regelmäßige Sicherheitsupdates für Netzwerkgeräte, um bekannte Schwachstellen zu schließen.
- Überwachung und Logging von Anmeldeversuchen, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.
Die zunehmende Professionalisierung von Cyberkriminalität durch Automatisierungstools wie BRUTED zeigt, wie wichtig es ist, Sicherheitsstrategien kontinuierlich anzupassen und proaktiv gegen neue Bedrohungen vorzugehen.
(vp/8com GmbH & Co. KG)
