Исследователи заметили, что вымогательская группировка Black Basta разработала собственную платформу для автоматизации брутфорса, получившую название BRUTED. Она применяется для взлома пограничных сетевых устройств, таких как брандмауэры и VPN.

Как сообщают специалисты EclecticIQ, обнаружить BRUTED удалось в ходе анализа логов чатов группировки, которые недавно утекли в сеть. Этот фреймворк позволил хакерам упростить первоначальный доступ к сетям и масштабировать вымогательские атаки на уязвимые эндпоинты. По информации специалистов, Black Basta использует платформу BRUTED с 2023 года для проведения крупномасштабных атак типа credential-stuffing и брутфорса.

Анализ исходного кода показал, что фреймворк специально создан для перебора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.

Фреймворк обнаруживает публично доступные пограничные сетевые устройства, соответствующие списку целей, путем перебора поддоменов, преобразования IP-адресов и добавления префиксов типа .vpn и remote. Информация о совпадениях передается на управляющий сервер.

После выявления потенциальных целей BRUTED извлекает возможные пароли с удаленного сервера и комбинирует их с локально сгенерированными предположениями для выполнения множества запросов на аутентификацию через несколько процессов CPU. При этом инструмент использует особые заголовки запросов и пользовательские агенты для каждого целевого устройства.

Согласно отчету EclecticIQ, BRUTED может извлекать Common Name (CN) и Subject Alternative Names (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты возможных паролей, основанные на домене и соглашениях об именах.

Чтобы избежать обнаружения, фреймворк использует ряд SOCKS5-прокси с доменным именем <...>fuck-you-usa[.]com, которое маскирует инфраструктуру злоумышленников. Исследователи отмечают, что основная инфраструктура включает в себя несколько находящихся в России серверов и зарегистрирована как Proton66 (AS 198953).

Эксперты заключают, что такие инструменты, как BRUTED, упрощают работу вымогательского ПО, позволяя хакерам прилагать минимум усилий для проникновения сразу в несколько сетей, что в итоге увеличивает возможности злоумышленников для монетизации.

Ключевой стратегией защиты от таких угроз исследователи называют использование надежных и уникальных паролей для всех пограничных устройств и VPN-аккаунтов, а также многофакторную аутентификацию (МФА) для блокировки доступа даже в случае компрометации учетных данных.