Nelle ultime settimane, è stata rilevata una serie di attacchi informatici che prendono di mira i VPN aziendali, mettendo in luce una strategia di ricognizione orchestrata da cybercriminali. Questi attacchi sfruttano infrastrutture legittime per mappare gli accessi VPN esposti, sottolineando ancora una volta la necessità di una maggiore vigilanza nella protezione delle reti aziendali.
Le 3 informazioni da non perdere
- Dall’inizio di dicembre, è stato osservato un aumento dei tentativi di connessione sui portali GlobalProtect di Palo Alto e sulle API SonicWall.
- Oltre settemila indirizzi IP, provenienti dall’infrastruttura di 3xK GmbH, sono stati coinvolti in questi attacchi.
- GreyNoise ha identificato firme tecniche ricorrenti, suggerendo un’operazione continua di mappatura degli accessi VPN e dei firewall.
Gli attacchi sui portali VPN
All’inizio di dicembre, è stato osservato un aumento notevole dei tentativi di connessione sui portali GlobalProtect, un servizio VPN ampiamente utilizzato nelle aziende. Questi attacchi provenivano principalmente dall’infrastruttura di 3xK GmbH, un fornitore legittimo i cui server sono stati dirottati per condurre questa operazione coordinata.
Sebbene possa sembrare un incidente isolato, gli analisti hanno rapidamente identificato uno schema ricorrente, già osservato tra settembre e ottobre. Le stesse firme tecniche sono state notate, nonostante un cambiamento completo di infrastruttura, indicando un continuo sforzo di ricognizione da parte dei cybercriminali.
Un obiettivo ampliato ai firewall SonicWall
Il 3 dicembre, gli attacchi si sono evoluti per prendere di mira anche le interfacce di gestione dei firewall SonicWall. Sono state utilizzate le stesse impronte tecniche, rafforzando l’ipotesi di un unico attore che amplia il proprio campo d’azione. Questa evoluzione sottolinea l’interesse crescente dei cybercriminali per i dispositivi di sicurezza online.
Gli attacchi non rivelano vulnerabilità immediate, ma mettono in luce il ruolo essenziale dei VPN e dei firewall nella protezione delle reti. Ciò richiede un monitoraggio continuo per rilevare comportamenti anomali e adeguare le politiche di sicurezza di conseguenza.
Raccomandazioni per rafforzare la sicurezza
Di fronte a questa minaccia persistente, gli amministratori di rete sono incoraggiati a rafforzare il controllo delle superfici di autenticazione dei loro VPN e firewall. L’implementazione dell’autenticazione multifattoriale è fortemente raccomandata per ridurre l’efficacia degli attacchi basati su credenziali compromesse.
Inoltre, l’uso di password uniche e robuste può prevenire lo sfruttamento di fughe di credenziali. Un attento monitoraggio dei tentativi ripetuti di connessione è cruciale per rilevare precocemente questo tipo di campagna e minimizzare il suo potenziale impatto.
Contesto e storia di Palo Alto e SonicWall
Palo Alto Networks è un’azienda americana fondata nel 2005, specializzata in cybersicurezza. È conosciuta per le sue soluzioni innovative di protezione delle reti, in particolare i suoi firewall e servizi VPN, ampiamente adottati in tutto il mondo.
SonicWall, invece, è una società nata nel 1991 e si è affermata come un attore importante nel campo delle soluzioni di sicurezza informatica. I suoi firewall e sistemi di prevenzione delle intrusioni sono utilizzati da molte aziende per proteggere le loro infrastrutture digitali dalle minacce esterne.