Campanha de password spray mira organizações na América Latina

A SEK identificou uma campanha de password spray sendo conduzida por alguns IPs contra diversas organizações da região latino-americana, com foco em acessos via SSH e exploração de vulnerabilidades relacionadas ao OpenSSH (CVE-2024-6387). O ataque utiliza uma infraestrutura localizada nos EUA como uma tática de evasão de geolocalização.

Nós coletamos os endereços IOCs envolvidos no ataque e adicionamos eles ao MISP para monitoramento contínuo, além de bloqueá-los em ferramentas de segurança que possuímos gerência, como firewalls e WAFs. Também realizamos uma varredura (threat hunting) em nossos clientes para identificar possíveis atividades maliciosas relacionadas a essas origens.

Reforçamos a necessidade da utilização do MFA para conexões VPN, bem como a aplicação de regras para mitigação desse tipo de ataque. No caso de clientes que não possuímos gerência, recomendamos o bloqueio imediato dos IOCs da campanha, que podem ser conferidos neste link: https://links.sek.io/ioc-238990

Seguiremos acompanhando o caso e monitorando a situação. Qualquer novidade, manteremos nossos clientes e parceiros informados, e nos colocamos à disposição para ajudar no que for necessário.

COMPARTILHE ESTE POST

WhatsApp
Facebook
LinkedIn
Twitter