Компания Okta предупреждаето резком увеличении числа и масштаба атак методом подбора учетных данных, направленных на онлайн-сервисы. По информации Okta, атаки стали возможными благодаря широкому распространению резидентных прокси-сервисов, списков ранее украденных учетных данных и инструментов для скриптинга.
Данные выводы подтверждаются недавним предупреждением от Cisco, которое указывает на глобальный рост брутфорс-атак на различные устройства, включая VPN-сервисы, интерфейсы аутентификации веб-приложений и SSH-сервисы. По данным Cisco, источниками атак являются выходные узлы TOR и другие анонимизирующие туннели и прокси. Целями атак оказались VPN-устройства Cisco, Check Point, Fortinet, SonicWall, а также маршрутизаторы от Draytek, MikroTik и Ubiquiti.
Исследовательская группа Okta отметила увеличение активности подбора учетных данных с 19 по 26 апреля 2024 года, предположительно с использованием аналогичной инфраструктуры. Атаки такого типа используют учетные данные, полученные в результате утечек данных на одном сервисе, для попыток входа на другой, несвязанный сервис.
Как указывает Okta, большая часть запросов в рамках недавних атак проходила через TOR и различные резидентные прокси, включая NSOCKS, Luminati и DataImpulse. Резидентные прокси (RESIP) используют сети легитимных устройств пользователей для маскировки вредоносного трафика без их согласия, превращая “участников” в часть ботнета, который затем сдают в аренду клиентам для анонимизации исходящего трафика.
Для снижения риска захвата учетных записей Okta рекомендует организациям обеспечить использование сложных паролей, включить двухфакторную аутентификацию (2FA), отклонять запросы из географических регионов, не связанных с локацией работы, и от IP-адресов с плохой репутацией.