La operación de ransomware Black Basta ha desarrollado un marco automatizado de fuerza bruta denominado BRUTED, con el objetivo de penetrar dispositivos de red de borde, como firewalls y VPNs.
Esta herramienta ha permitido a Black Basta agilizar el acceso inicial a redes y escalar ataques de ransomware en puntos finales expuestos a internet vulnerables.
Descubrimiento de BRUTED ️♂️
El descubrimiento de BRUTED proviene del investigador de EclecticIQ, Arda Büyükkaya, quien realizó un análisis exhaustivo de los registros internos filtrados de la banda de ransomware. Durante 2024, se reportaron varios ataques de gran escala de fuerza bruta y spray de contraseñas contra estos dispositivos, algunos de los cuales podrían estar vinculados a BRUTED o a operaciones similares.
Automatización de los ataques de fuerza bruta
BRUTED ha sido utilizado por Black Basta desde 2023 para realizar ataques masivos de relleno de credenciales y fuerza bruta contra dispositivos de red de borde.
El análisis del código fuente indica que el marco fue específicamente diseñado para atacar las credenciales de los siguientes productos de VPN y acceso remoto:
- SonicWall NetExtender
- Palo Alto GlobalProtect
- Cisco AnyConnect
- Fortinet SSL VPN
- Citrix NetScaler (Citrix Gateway)
- Microsoft RDWeb (Remote Desktop Web Access)
- WatchGuard SSL VPN
¿Cómo funciona BRUTED?
El marco BRUTED busca dispositivos de red expuestos públicamente que coincidan con su lista de objetivos mediante la enumeración de subdominios, resolución de direcciones IP y adición de prefijos como .vpn o remote. Los dispositivos que coinciden se reportan al servidor de comando y control (C2).
Una vez identificados los objetivos potenciales, BRUTED recupera candidatos de contraseñas desde un servidor remoto y los combina con conjeturas generadas localmente para ejecutar múltiples solicitudes de autenticación a través de varios procesos de CPU.
Además, el informe de EclecticIQ menciona que BRUTED puede extraer Common Name (CN) y Subject Alternative Names (SAN) de los certificados SSL de los dispositivos atacados, lo que ayuda a generar conjeturas adicionales de contraseñas basadas en el dominio y las convenciones de nombres de los objetivos.
Evadiendo la detección ️
Para evadir la detección, el marco utiliza una lista de proxies SOCKS5 con dominios interesantes que ocultan la infraestructura del atacante detrás de una capa intermedia.
La infraestructura principal de BRUTED está compuesta por múltiples servidores en Rusia y está registrada bajo Proton66 (AS 198953).
Los registros filtrados también revelaron discusiones internas sobre tiempos de inactividad de los servidores debido a tarifas impagas, las cuales fueron renovadas, lo que ofrece una visión de las operaciones diarias que las bandas de ransomware deben manejar.
Defensa contra los ataques de fuerza bruta ️
Herramientas como BRUTED optimizan las operaciones de ransomware al penetrar en muchas redes a la vez con mínimo esfuerzo, lo que aumenta las oportunidades de monetización para los actores de amenazas.
Una estrategia clave de defensa es imponer contraseñas fuertes y únicas para todos los dispositivos de red de borde y cuentas de VPN, además de usar autenticación multifactor (MFA) para bloquear el acceso incluso cuando las credenciales han sido comprometidas.
También es crucial monitorear intentos de autenticación desde ubicaciones desconocidas y fallos de inicio de sesión en volumen elevado, así como implementar políticas de limitación de tasa y bloqueo de cuentas.
EclecticIQ ha compartido una lista de IPs y dominios utilizados por BRUTED, que puede ser utilizada para crear nuevas reglas de firewall que bloqueen solicitudes provenientes de infraestructuras maliciosas conocidas.
¿Cómo mantener los dispositivos actualizados?
Aunque BRUTED no explota vulnerabilidades específicas para penetrar dispositivos de red de borde, es crucial mantener esos dispositivos actualizados aplicando los últimos parches de seguridad disponibles.