Un framework, miles de víctimas: BRUTED automatiza los ataques a redes corporativas

El grupo Black Basta ha implementado una nueva herramienta de ataque a dispositivos de red llamada BRUTED. Este framework automatiza los ataques de fuerza bruta contra dispositivos accesibles desde Internet, como firewalls y VPN, lo que permite a los atacantes escalar sus operaciones con un esfuerzo mínimo.

EclecticIQ descubrió que Black Basta ha estado utilizando BRUTED desde 2023 para ataques automatizados a sistemas de acceso remoto. La herramienta se enfoca en descifrar credenciales de servicios como SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler, Microsoft RDWeb y WatchGuard SSL VPN.

BRUTED escanea Internet en busca de dispositivos vulnerables, analizando dominios públicos y direcciones IP, y luego envía los objetivos encontrados a un servidor C2. A partir de ahí, el sistema utiliza combinaciones de contraseñas obtenidas de bases de datos remotas junto con variantes generadas localmente para lanzar ataques multihilo contra los mecanismos de autenticación.

El framework también analiza los certificados SSL de los dispositivos objetivo, extrayendo nombres de dominio y otros datos que pueden utilizarse para generar más variantes de contraseñas. Para ocultar su infraestructura, Black Basta emplea una red de servidores proxy con ofuscación de nombres de dominio.

Esquema del ataque de Black Basta utilizando BRUTED (EclecticIQ)

Las herramientas automatizadas de fuerza bruta, como BRUTED, representan una amenaza grave para las redes corporativas. Para minimizar los riesgos, los expertos recomiendan:

— Utilizar contraseñas complejas y únicas para todas las cuentas VPN y dispositivos en el perímetro de la red.
— Habilitar obligatoriamente la autenticación multifactor (MFA) para prevenir accesos no autorizados incluso si la contraseña es comprometida.
— Monitorear intentos de inicio de sesión anómalos, incluyendo múltiples fallos de autenticación y accesos desde ubicaciones desconocidas.
— Limitar la frecuencia de intentos de inicio de sesión y bloquear cuentas tras intentos de autenticación sospechosos.
— Mantener actualizados los dispositivos de red, incluso si la herramienta no explota vulnerabilidades sino solo ataques de fuerza bruta.

EclecticIQ ha publicado una lista de direcciones IP y dominios utilizados por BRUTED, que pueden usarse para configurar nuevas reglas de firewall y bloquear direcciones maliciosas conocidas.

En febrero, un informante anónimo filtró un archivo de chats internos del grupo Black Basta. Aún no está claro si ExploitWhispers es un investigador de ciberseguridad que obtuvo acceso a los servidores del grupo o un exmiembro que decidió revelar información interna. Según datos preliminares, la filtración podría haberse originado debido a un conflicto interno dentro del grupo.