Zabilježen je drastičan porast napada na preduzeća koji ciljaju mrežnu infrastrukturu, pri čemu su Cisco ASA VPN sistemi u prvom kvartalu 2025. godine zabilježili neviđen rast napada od 399%, dok su Microsoft 365 autentifikacijske usluge imale porast ovakvih napada od 21%.
Ovi alarmantni podaci ukazuju na temeljitu promjenu u strategijama sajber kriminalaca, koji se sve više preusmjeravaju sa sistema za autentifikaciju u oblaku na tradicionalnu VPN infrastrukturu preduzeća.
Istraživanje sprovedeno od oktobra 2024. do marta 2025. godine pokazuje kako napadači prilagođavaju svoje metode kako bi iskoristili ranjive mehanizme autentifikacije na raznim platformama.
**Napadne metode špricanjem lozinki usmjerene na Cisco ASA VPN**
Napad špricanjem lozinki (password spray) predstavlja sofisticiranu metodu grube sile koja koristi globalno distribuirane IP adrese putem botneta i proxy usluga, čineći utvrđivanje izvora napada izuzetno teškim za sigurnosne timove. Za razliku od klasičnih napada grubom silom koji ciljaju jedan račun s više lozinki, napadi špricanjem lozinki koriste uobičajene lozinke protiv velikog broja korisničkih imena, efikasno zaobilazeći mehanizme blokade računa i sisteme za detekciju. Prema najnovijem Trellix Threat Reportu, skok od 399% u napadima na Cisco ASA VPN ukazuje na strateški pomak aktera prijetnji ka ciljanju tradicionalne mrežne infrastrukture. Sigurnosni stručnjaci ovaj dramatičan porast pripisuju relativno ograničenim mogućnostima nadzora VPN sistema u poređenju s provajderima usluga u oblaku. U izvještaju se navodi da provajderi usluga u oblaku poput Microsoft 365 nude napredne mogućnosti detekcije špricanja lozinki i napada grube sile, dok VPN sistemi možda nemaju tako robusne sisteme nadzora. Telemetrijski podaci Trellixa pokazuju da su zdravstvene organizacije prednjačile među ciljanim sektorima, slijede energetski, osiguravajući, maloprodajni i obrazovni sektor. Geografska distribucija pokazuje da Sjedinjene Američke Države prednjače kao primarna meta, dok Kanada, Brazil, Australija i Argentina također bilježe značajan obim napada.
**Napredne taktike, tehnike i procedure (TTPs)**
Istraživanje otkriva da ove kampanje špricanja lozinki koriste TTPs dizajnirane da maksimiziraju uspjeh uz minimiziranje rizika od detekcije. Akteri prijetnji iskorištavaju slabe politike lozinki i nepotpuna implementiranja višefaktorske autentifikacije (MFA), posebno ciljajući organizacije s nedosljednim sigurnosnim implementacijama. Napadi pokazuju visoko ciljani pristup, pri čemu napadi na Microsoft 365 autentifikaciju bilježe 25% smanjenje broja ciljanih organizacija, dok istovremeno održavaju 21% porast ukupnog obima napada. Ovaj obrazac sugerira da akteri prijetnji provode izviđanje kako bi dobili sveobuhvatne liste korisničkih imena za određene organizacije, bilo putem curenja podataka ili inferencijom korisničkih imena tehnikama enumeracije zaposlenih. Izazov utvrđivanja izvora otežan je korištenjem distribuirane infrastrukture napada, uključujući kompromitovane sisteme i komercijalne proxy usluge, što otežava sigurnosnim timovima praćenje napada do njihovih originalnih izvora. Izvještaj specifično navodi uspješno korištenje tehnika špricanja lozinki od strane grupe prijetnji Midnight Blizzard za kompromitovanje korporativnih e-mail naloga Microsofta, naglašavajući efikasnost ovih metodologija protiv meta visoke vrijednosti. Zanimljivo je da, dok su Cisco ASA VPN i Microsoft 365 sistemi zabilježili porast u obimu napada, Okta autentifikacijske usluge su zabilježile oštar pad u ciljanju. Sigurnosni analitičari sugerišu da ovaj pomak može ukazivati na poboljšane odbrambene mjere Okte ili strateški pomak aktera prijetnji ka platformama sa percipiranim slabijim sigurnosnim implementacijama. Izvještaj naglašava da ovi napadi predstavljaju visok povrat ulaganja za sajber kriminalce zbog niskog rizika od detekcije i poteškoća u utvrđivanju izvora. Organizacijama se savjetuje da implementiraju sveobuhvatnu MFA implementaciju, ojačaju politike lozinki, poboljšaju nadzor autentifikacijskih sistema i implementiraju napredne mogućnosti detekcije napada grube sile kako bi ublažili ove rastuće prijetnje.