Украинские хакеры усиливают брутфорс-атаки и атаки методом перебора паролей на системы VPN и RDP

В течение трех дней в июле 2025 года сеть, работающая под идентификатором AS211736, совершила более 1,3 миллиона попыток входа в корпоративные VPN и RDP системы. Исследователи безопасности связывают эти скоординированные действия с группой взаимосвязанных украинских автономных систем - VAIZ-AS (AS61432), E-RISHENNYA-ASN (AS210950) и FDN3 (AS211736), которые регулярно обмениваются IP-префиксами с TK-NET (AS210848) из Сейшельских островов, чтобы избежать блокировок.

Все четыре сети возникли одновременно в августе 2021 года и используют маршрутизацию через IP Volume Inc. (AS202425), зарегистрированную на Сейшелах и являющуюся прикрытием для печально известного голландского провайдера Ecatel, предоставляющего услуги хостинга для незаконной деятельности. Тактика и время проведения атак соответствуют методам, характерным для групп, использующих модель Ransomware-as-a-Service (RaaS - вымогательство как услуга), которые полагаются на медленный и незаметный подбор учетных данных для получения первоначального доступа к сетям.

6 июля 2025 года префикс FDN3 88.210.63.0/24 начал массированные атаки на тысячи устройств VPN и серверов RDP, достигая пиковой нагрузки в более чем 110 000 попыток входа с одного IP-адреса. Анализ логов показал почти равномерное распределение атак между портами SSL VPN (TCP 443 и 8443) и RDP (TCP 3389), что указывает на широкую стратегию зондирования, направленную на максимизацию шансов проникновения.

Исторические данные за апрель 2025 года подтверждают, что Telkom Internet LTD (AS210848) и IP Volume Inc. (AS202425) ранее направляли аналогичные масштабные операции через префиксы VAIZ и E-RISHENNYA. В течение одной только недели сети-ловушки зафиксировали более 27 000 попыток атак от AS210848, а метрики SANS Institute показали десятки тысяч обращений на порт 5555, исходящих из этих автономных систем. Эта постоянная активность подчеркивает двойную роль сетей: они используются как для brute-force-атак, так и для размещения командных центров вредоносного программного обеспечения и фишинговой инфраструктуры.

Анализ данных WHOIS указывает на то, что административный контроль над FDN3 осуществляется через зарегистрированного в России провайдера Alex Host LLC («ru-alexgroup-1-MNT»), который имеет документально подтвержденную историю поддержки незаконных операторов RaaS. Передача префиксов между организациями, зарегистрированными в Украине и России, например, перемещение диапазона 45.143.201.0/24 от TOV VAIZ PARTNER к Verasel Inc. (AS2100195) на Сейшельских островах, свидетельствует о стратегической цепи подставных компаний, созданной для затруднения атрибуции и противодействия.

Угроза усугубляется тем, что болгарские сети, такие как ROZA-AS (AS212283) и SS-Net (AS204428), также использовали украинские префиксы для обеспечения непрерывного доступа к злоупотребляемым диапазонам IP. В июне и июле 2025 года префиксы SS-Net 83.222.190.0/24 и 83.222.191.0/24 зафиксировали более 55 000 и 12 900 попыток входа в RDP соответственно, что дополнительно подтверждает reliance злоумышленников на географически разнообразных партнеров, предоставляющих «пуленепробиваемый» хостинг.

IPv4

• 185.156.72.196
• 185.156.72.39
• 185.156.72.96
• 185.156.73.154
• 185.156.73.67
• 31.43.185.33
• 31.43.185.38
• 31.43.185.4
• 31.43.185.41
• 31.43.185.67
• 31.43.185.89
• 83.222.190.190
• 83.222.191.130
• 83.222.191.150
• 83.222.191.178
• 83.222.191.42
• 83.222.191.94
• 88.210.63.10
• 88.210.63.11
• 88.210.63.12
• 88.210.63.16
• 88.210.63.17
• 88.210.63.18
• 88.210.63.2
• 88.210.63.21
• 88.210.63.22
• 88.210.63.23
• 88.210.63.24
• 88.210.63.25
• 88.210.63.26
• 88.210.63.27
• 88.210.63.28
• 88.210.63.29
• 88.210.63.3
• 88.210.63.30
• 88.210.63.4
• 88.210.63.63
• 88.210.63.7
• 88.210.63.8
• 88.210.63.88
• 88.210.63.9
• 92.63.197.23
• 92.63.197.236
• 92.63.197.77
• 92.63.197.79

• tlp-clear-20250828-vaiz-fdn3-tk-net-en.pdf