O alerta é da equipa de segurança Talos da Cisco, uma campanha de larga escala para comprometer as credenciais de autenticação está a decorrer nas redes e infraestruturas. O objetivo é obter o acesso não autorizado a VPNs, SSH ou contas de aplicações web.

As tentativas de autenticação utilizam tanto nomes genéricos como válidos, colocando em mira organizações específicas. A Cisco criou uma lista com mais de 2.000 nomes de utilizador e 100 passwords utilizados nos ataques, assim como perto de 4.000 endereços de IP.

Segundo o blog da Cisco, os endereços de IP podem ter origem do browser TOR e outras fontes anónimas, assim como proxies, tais como a IPIDEA Proxy, BigMama Proxy, Space Proxies e outros. E estes ataques podem ser indiscriminados e oportunos, do que apontados a uma região particular ou indústria.

Dependente do tipo de alvos, um ataque bem-sucedido deste tipo pode levar ao acesso não autorizado à rede, bloqueios de contas ou condições de denial of service. O tráfego relacionado com estes ataques tem vindo a aumentar com o tempo e vão continuar a crescer, disse a Cisco. Os ataques têm afetado diversas VPNs, incluindo a da Cisco, Checkpoint, Fortinet, SonicWall e outras.

De recordar que a NordVPN analisou recentemente cerca de 54 mil milhões de cookies que foram divulgados na dark web, colocando Portugal no 27º lugar da lista, com 223 milhões partilhados no mercado negro. Também o número de contas com domínio .pt comprometidas por malware, ascendeu ao milhão, segundo dados da Kaspersky.