Az eddig ismeretlen brute force támadási keretrendszert azonosítottak, amelyet a Black Basta RaaS csoport alkalmaz. A forráskód elemzése alapján a BRUTED alapvető feladata az automatizált internetes szkennelés és hitelesítő adatokkal végzett támadások végrehajtása, főképp a vállalati hálózatok peremhálózati eszközei, tűzfalai és VPN megoldásai ellen. A támadók célja, hogy adminisztrátori hozzáférést szerezzenek ezekhez a rendszerekhez, és teljes mértékben átvegyék felettük a felügyeletet.A támadások során a BRUTED egy komplex és jól szervezett támadási láncot követ, amely több lépésből áll. Az első fázis az internetes szkennelés, ahol a rendszer aktívan keres nyilvánosan elérhető szolgáltatásokat, például VPN-szervereket és távoli elérésű rendszereket.
A támadók az alábbi rendszereket veszik célba: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb és WatchGuard SSL VPN.
A második lépésben az azonosított célpontokat brute-force támadásokkal próbálják feltörni. Ehhez nagyszámú proxy szervert használnak a kérések elosztására, hogy elkerüljék az észlelést és a tiltásokat.
A BRUTED képes dinamikusan generálni jelszavakat a célrendszer SSL-tanúsítványaiból kinyert információk alapján, valamint ismert adatszivárgásokból és belső adatbázisokból származó hitelesítő adatokat is használ. A sikertelen bejelentkezési kísérletek számát és egyéb válaszidőket is elemzik, hogy kikerüljék a védelmi rendszereket.
Sikeres behatolás esetén az ellopott hitelesítő adatokat a támadók további hálózati mozgásokra és más rendszerek kompromittálására használják fel. Ezt követően zsarolóvírust telepítenek, amely titkosítja az adatok jelentős részét, majd váltságdíjat követelnek a dekódolási kulcsokért cserébe.
A támadásokhoz használt szerverek az Oroszországban regisztrált Proton66 hálózati szolgáltatónál (AS 198953) futottak. A támadók valószínűleg azért ezt a szolgáltatót választották, hogy elkerüljék a nyugati hatóságok figyelmét és minimalizálják a támadási infrastruktúra lelepleződésének esélyét.