Eine umfangreiche Anzahl von Virtual Private Network (VPN) und anderen Netzwerkgeräten ist derzeit von Angriffen betroffen, Experten warnen vor Bedrohungsakteuren, die versuchen, in größere Netzwerke einzudringen. Die Überwachungsplattform The Shadowserver Foundation warnt vor dem laufenden Angriff auf X, stellt fest, dass derzeit etwa 2,8 Millionen verschiedene IP-Adressen verwendet werden, um die Passwörter für VPNs und ähnliche Geräte von Palo Alto Networks, Ivanti, SonicWall und anderen zu erraten. Die Bedrohungsakteure zielen neben VPNs auch auf Gateways, Sicherheitsgeräte und andere Geräte am Rand des öffentlichen Internets ab.
Um den Angriff durchzuführen, verwenden die Bedrohungsakteure MikroTik, Huawei, Cisco, Boa und ZTE-Router sowie andere internetfähige Geräte, die wahrscheinlich mit Malware infiziert sind oder durch schwache Passwörter kompromittiert wurden. Der Großteil der 2,8 Millionen IP-Adressen (1,1 Millionen) befindet sich in Brasilien, der Rest ist auf die Türkei, Russland, Argentinien, Marokko und Mexiko verteilt. Dies stellt einen typischen Brute-Force-Angriff dar, bei dem Bedrohungsakteure versuchen, sich bei einem Gerät einzuloggen, indem sie eine enorme Anzahl von Benutzername/Passwort-Kombinationen eingeben, bis eine erfolgreich ist. Der gesamte Prozess ist automatisiert, was ihn in großem Maßstab möglich macht. Die Automatisierung wird durch Malware ermöglicht. Normalerweise gehören die Geräte, die für den Angriff verwendet werden, zu einem Botnetz oder einem Residential Proxy-Service. Residenzproxis sind von Internetdienstanbietern (ISPs) zugewiesene IP-Adressen echter Geräte. Sie lassen es so aussehen, als ob der Benutzer von einem legitimen Wohnort aus surft, anstatt von einem Rechenzentrum, was sie zu einem wichtigen Ziel für Cyberkriminelle macht.