Clicky

Nueva red de bots de fuerza bruta dirigida a más de 1.5 millones de servidores RDP

red de bots de fuerza bruta

GoldBrute podría causar estragos en todo el mundo

Los investigadores de seguridad han descubierto una sofisticada campaña de botnets en curso que actualmente emplea ataques de fuerza bruta contra más de 1.5 millones de servidores RDP* de Windows de acceso público en Internet.

Denominado GoldBrute, el esquema de botnets se ha diseñado para escalar gradualmente agregando cada nuevo sistema crackeado a su red, obligándolos a encontrar nuevos servidores RDP disponibles y luego emplear la fuerza bruta.

Para actuar bajo el radar de las herramientas de seguridad y analistas de malware, los atacantes detrás de esta campaña ordenan a cada máquina infectada que se dirija a millones de servidores con un conjunto único de combinación de nombre de usuario y contraseña para que un servidor específico reciba intentos de fuerza bruta de diferentes direcciones IP.

GoldBrute

La campaña, descubierta por Renato Marinho en Morphus Labs, funciona como se muestra en la imagen ilustrada arriba, y su modus operandi se ha explicado en los siguientes pasos:

Paso 1: después de forzar con éxito un servidor RDP, el atacante instala en la máquina un malware botnet GoldBrute basado en JAVA.

Paso 2: para controlar las máquinas infectadas, los atacantes utilizan un servidor de control y comando (C&C) fijo y centralizado que intercambia comandos y datos a través de una conexión WebSocket encriptada AES.

Paso 3 y 4: cada máquina infectada recibe su primera tarea para analizar e informar una lista de al menos 80 nuevos servidores RDP de acceso público que pueden ser forzados por la fuerza bruta.

Paso 5 y 6: los atacantes asignan luego a cada máquina infectada un conjunto único de combinación de nombre de usuario y contraseña como su segunda tarea, obligándolas a intentarlo contra la lista de objetivos RDP que el sistema infectado recibe continuamente del servidor de C&C.

Paso 7: en los intentos exitosos, la máquina infectada reporta las credenciales de inicio de sesión al servidor de C&C.

En este momento, no está claro exactamente cuántos servidores RDP ya se han visto comprometidos y participando en los ataques de fuerza bruta contra otros servidores RDP en Internet.

servidor C&C atacante

Al momento de escribir, una búsqueda rápida en Shodan muestra que se puede acceder en Internet a aproximadamente 2.4 millones de servidores RDP de Windows, y probablemente más de la mitad de ellos están recibiendo intentos de fuerza bruta.

(*) El Protocolo de escritorio remoto (RDP) apareció recientemente en los titulares de dos nuevas vulnerabilidades de seguridad: una fue reparada por Microsoft y la otra sigue sin ser reparada.

Denominada BlueKeep, la vulnerabilidad parcheada (CVE-2019-0708) es un defecto que puede hacer que los atacantes remotos tomen el control de los servidores RDP y, si se explota con éxito, podría causar estragos en todo el mundo, potencialmente mucho peor que lo que hicieron los ataques de gusanos WannaCry y NotPetya en 2017.

La vulnerabilidad no parcheada reside en Windows y podría permitir a los atacantes del lado del cliente eludir la pantalla de bloqueo en las sesiones de escritorio remoto (RD).

Jesus_Caceres