Agencias/Ciudad de México.- La organización de ciberseguridad The Shadowserver Foundation ha alertado de un ataque defuerza bruta a gran escala que lleva activo desde el mes pasado y con la que han llegado a utilizar 2.8 millones de direcciones IP de origen al día.
Un ataque de fuerza bruta lleva activo desde mediados de enero, dirigido contra la seguridad del extremo de la red, como ‘firewalls’ o redes privadas virtuales, que aprovecha una ‘botnet’ maliciosa en la que se han visto involucrados ‘routers’ y equipos del Internet de las Cosas (IoT) de marcas como MikroTik, Huawei, Cisco, Boa y ZTE, como informan desde la organización y recoge Bleeping Computer.
Large increase in web login brute forcing attacks against edge devices seen last few weeks in our honeypots, with up to 2.8M IPs per day seen with attempts (especially Palo Alto Networks, Ivanti, SonicWall etc). Over 1M from Brazil. Source IPs shared in https://t.co/kapIq2pIBI pic.twitter.com/LMhFEvAEEL
— The Shadowserver Foundation (@Shadowserver) February 7, 2025
Este ataque ha sido identificado por The Shadowserver Foundation, una organización sin ánimo de lucro que monitoriza la actividad maliciosa en Internet. En concreto, sus ‘honeypots’ -un sistema de señuelos que simula ser un objetivo del atacante- han detectado un incremento gradual de los intentos de acceso mediante la técnica de la fuerza bruta, con un pico que ha alcanzado los 2.8 millones direcciones IP de origen.
En los ataques de fuerza bruta, los ciberdelincuentes recurren a credenciales de acceso (usuario y correo electrónico) que utilizan de manera indiscriminada hasta que consiguen la combinación que permite iniciar sesión y, con ello, tomar el control de un dispositivo o una red.
Según los datos de la organización, la mayoría de las direcciones de IP utilizadas tienen su origen en Brasil (1,1 millones), pero también se han identificado de Turquía, Rusia, Argentina, Marruecos y México. Y aunque lleva semanas en curso, ha escalado recientemente.
Since 2025-02-05 we are reporting daily GFI Kerio Control firewall instances vulnerable to CVE-2024-52875 which can (possibly) be leveraged for RCE. Data shared in https://t.co/qxv0Gv5ELc
We see 12,229 unpatched instances on 2025-02-09 worldwide: https://t.co/LRMyelsSuL pic.twitter.com/9IOxPgmok4
— The Shadowserver Foundation (@Shadowserver) February 10, 2025
