Resumo
Inteligência de ameaças observou a oferta de uma nova ferramenta de brute‑force chamada "Brutus", anunciada por um ator conhecido como “RedTeam”. O produto é vendido por US$1.500 e foi descrito como capaz de atacar serviços remotos — incluindo SSH, RDP, VNC e conexões shell — com recursos de proxy e geração dinâmica de credenciais.
Funcionalidade e alcance
De acordo com o relatório, Brutus inclui apontadores técnicos que ampliam sua eficácia contra infraestruturas amplamente usadas: suporte a múltiplos protocolos (SSH, RDP, VNC e shell), scanner integrado para identificar serviços expostos e uso de proxies SOCKS/HTTP com rotação para mascarar a origem das tentativas.
Arquitetura e portabilidade
A ferramenta foi desenvolvida em Go, o que facilita a compilação multiplataforma. O desenvolvedor anuncia compatibilidade com Windows, Linux e macOS, permitindo execução em ambientes diversos. A linguagem e o design tornam o kit de uso relativamente simples de adaptar para diferentes targets.
Recursos para ataque
- Scanner automático de serviços expostos para identificação de alvos;
- Suporte a listas de credenciais em múltiplos formatos (combo lists, URL:login:password, arquivos separados);
- Geração dinâmica de combinações de credenciais "on‑the‑fly", reduzindo dependência de bancos pré‑compilados;
- Proxying com rotação para evitar bloqueios por IP e contornar controles baseados em origem.
Risco para ambientes Fortinet
O alerta enfatiza que Fortinet é amplamente adotado em redes empresariais e governamentais. Uma ferramenta comercializada com foco em serviços Fortinet amplia risco para organizações que mantêm políticas de autenticação fracas, endpoints de acesso remoto expostos ou appliances sem medidas de rate limiting/mitigação.
Impacto operacional
Brute‑force e credential‑stuffing podem levar ao comprometimento de contas administrativas, movimentação lateral e implantação posterior de cargas maliciosas. Embora o relatório não afirme exploração de vulnerabilidade específica (CVE), a capacidade de atacar múltiplos protocolos e usar proxies aumenta a probabilidade de sucesso contra alvos mal configurados.
Mitigações recomendadas
O texto fornece recomendações diretas para equipes de segurança que gerenciam infraestrutura Fortinet:
- Implemente MFA em todas as interfaces administrativas;
- Implemente rate limiting e bloqueio automático para tentativas repetidas de login;
- Audite pontos de acesso expostos: execute varreduras para identificar serviços públicos que não deveriam estar acessíveis na internet;
- Políticas de senhas e gestão de credenciais: elimine senhas fracas e o reuso de credenciais; use vaults para secrets;
- Monitoramento de tentativas anômalas: detectar padrões de credential stuffing, origens com proxies rotativos e picos de tentativas por conta/host;
- Avaliações regulares: testes de penetração e revisão de configurações dos appliances Fortinet.
Limitações e pontos sem detalhe
O relatório descreve as capacidades anunciadas da ferramenta e seu preço, mas não fornece amostras de binários, IOCs ou evidências de uso em campanhas ativas contra vítimas específicas. Também não há referência a versões Fortinet afetadas nem a vulnerabilidades de firmware exploradas.
Observações finais
O surgimento comercial de uma ferramenta com essas características, vendida por um preço dentro do alcance de grupos criminosos organizados, eleva o risco de ataques de credenciais automatizados em larga escala. Organizações que dependem de appliances Fortinet devem priorizar autenticação forte, limitação de taxa e visibilidade de logs para reduzir superfície de ataque e acelerar detecção.