Zabilježen je drastičan porast napada na preduzeća koji ciljaju mrežnu infrastrukturu, pri čemu su Cisco ASA VPN sistemi u prvom kvartalu 2025. godine zabilježili neviđen rast napada od 399%, dok su Microsoft 365 autentifikacijske usluge imale porast ovakvih napada od 21%.
Ovi alarmantni podaci ukazuju na temeljitu promjenu u strategijama sajber kriminalaca, koji se sve više preusmjeravaju sa sistema za autentifikaciju u cloud-u na tradicionalnu VPN infrastrukturu preduzeća.
Istraživanje sprovedeno od oktobra 2024. do marta 2025. godine pokazuje kako napadači prilagođavaju svoje metode kako bi iskoristili ranjive mehanizme autentifikacije na raznim platformama.
Napadne metode špricanjem lozinki usmjerene na Cisco ASA VPN
Napad špricanjem lozinki (password spray) predstavlja sofisticiranu metodu grube sile koja koristi globalno distribuisane IP adrese putem botneta i proxy usluga, čineći utvrđivanje izvora napada izuzetno teškim za sigurnosne timove. Za razliku od klasičnih napada grubom silom koji ciljaju jedan račun s više lozinki, napadi špricanjem lozinki koriste uobičajene lozinke protiv velikog broja korisničkih imena, efikasno zaobilazeći mehanizme blokade računa i sisteme za detekciju. Prema najnovijem Trellix Threat Reportu, skok od 399% u napadima na Cisco ASA VPN ukazuje na strateški pomak hakera ka ciljanju tradicionalne mrežne infrastrukture. Sigurnosni stručnjaci ovaj dramatičan porast pripisuju relativno ograničenim mogućnostima nadzora VPN sistema u poređenju s provajderima usluga u cloud-u. U izvještaju se navodi da provajderi usluga u oblaku poput Microsoft 365 nude napredne mogućnosti detekcije špricanja lozinki i napada grube sile, dok VPN sistemi možda nemaju tako robusne sisteme nadzora. Telemetrijski podaci Trellixa pokazuju da su zdravstvene organizacije prednjačile među ciljanim sektorima, slijede energetski, osiguravajući, maloprodajni i obrazovni sektor. Geografska distribucija pokazuje da Sjedinjene Američke Države prednjače kao primarna meta, dok Kanada, Brazil, Australija i Argentina takođe bilježe značajan obim napada.
Napredne taktike, tehnike i procedure (TTPs)
Istraživanje otkriva da ove kampanje špricanja lozinki koriste TTPs dizajnirane da maksimiziraju uspjeh uz minimizovanje rizika od detekcije. Hakeri iskorištavaju slabe politike lozinki i nepotpuna implementiranja višefaktorske autentifikacije (MFA), posebno ciljajući organizacije s nedosljednim bezbjednosnim implementacijama. Napadi pokazuju visoko ciljani pristup, pri čemu napadi na Microsoft 365 autentifikaciju bilježe 25% smanjenje broja ciljanih organizacija, dok istovremeno održavaju 21% porast ukupnog obima napada. Ovaj obrazac sugeriše da hakeri provode izviđanje kako bi dobili sveobuhvatne liste korisničkih imena za određene organizacije, bilo putem curenja podataka ili inferencijom korisničkih imena tehnikama enumeracije zaposlenih. Izazov utvrđivanja izvora otežan je korišćenjem distribuisane infrastrukture napada, uključujući kompromitovane sisteme i komercijalne proxy usluge, što otežava bezbjednosnim timovima praćenje napada do njihovih originalnih izvora. Izvještaj specifično navodi uspješno korišćenje tehnika špricanja lozinki od strane grupe prijetnji Midnight Blizzard za kompromitovanje korporativnih e-mail naloga Microsofta, naglašavajući efikasnost ovih metodologija protiv meta visoke vrijednosti. Zanimljivo je da, dok su Cisco ASA VPN i Microsoft 365 sistemi zabilježili porast u obimu napada, Okta autentifikacijske usluge su zabilježile oštar pad u ciljanju. Bezbjednosni analitičari sugerišu da ovaj pomak može ukazivati na poboljšane odbrambene mjere Okte ili strateški pomak hakera ka platformama sa percipiranim slabijim bezbjednosnim implementacijama. Izvještaj naglašava da ovi napadi predstavljaju visok povrat ulaganja za sajber kriminalce zbog niskog rizika od detekcije i poteškoća u utvrđivanju izvora. Organizacijama se savjetuje da implementiraju sveobuhvatnu MFA implementaciju, ojačaju politike lozinki, poboljšaju nadzor autentifikacijskih sistema i implementiraju napredne mogućnosti detekcije napada grube sile kako bi ublažili ove rastuće prijetnje.
