Credential Stuffing

Um aumento significativo nos ataques aos portais de login do Palo Alto Networks GlobalProtect foi registrado, com mais de 2.200 endereços IP únicos envolvidos em tentativas de acesso em 7 de outubro de 2025. A GreyNoise, empresa de monitoramento de cibersegurança, observou que o número de IPs únicos que realizavam varreduras nos portais subiu de aproximadamente 1.300 em 3 de outubro para mais de 2.200 em apenas quatro dias. Essa atividade sugere uma campanha de ‘credential stuffing’, onde listas extensas de credenciais, possivelmente obtidas de vazamentos anteriores, estão sendo utilizadas. A análise geográfica revelou que 91% dos IPs que realizavam as varreduras estavam localizados nos Estados Unidos, com outros clusters significativos no Reino Unido, Países Baixos, Canadá e Rússia. O aumento repentino de tentativas de login, que coincide com um evento semelhante de varredura em dispositivos Cisco ASA, indica uma possível coordenação entre os atacantes. Para mitigar esses ataques, recomenda-se que as organizações bloqueiem ou monitorem os IPs identificados pela GreyNoise, implementem autenticação multifatorial e revisem os logs de login em busca de combinações incomuns de nome de usuário e senha.