Botnet está atacando con fuerza bruta a más de 1.5 millones de servidores RDP – Masterhacks Blog

Botnet está atacando con fuerza bruta a más de 1.5 millones de servidores RDP

Investigadores de seguridad descubrieron una campaña de botnets sofisticada trabajando en curso, que utiliza fuerza bruta con más de 1.5 millones de servidores RDP de Windows de acceso público en Internet.

GoldBrute es el nombre que se le dio al esquema de botnets, que se diseñó para escalar gradualmente agregando cada nuevo sistema crackeado a su red, obligándolos a encontrar nuevos servidores RDP disponibles y luego a la fuerza bruta.

Para evadir las herramientas de seguridad y a los analistas de malware, los atacantes detrás de la campaña ordenan a cada máquina infectada que se dirija a millones de servidores con un conjunto único de combinación de nombre de usuario y contraseña para que un servidor específico reciba intentos de fuerza bruta de diferentes direcciones IP.

La campaña fue descubierta por Renato Mainho en Morphus Labs, funciona como se puede observar en la siguiente imagen:

Paso 1: Después de forzar con éxito un servidor RDP, el atacante instala en la máquina un malware botnet GoldBrute, basado en Java.

Paso 2: Para controlar las máquinas infectadas, los atacantes utilizan un servidor de control y comando fijo y centralizado, que intercambia comandos y datos por medio de una conexión WebSocket encriptada AES.

Paso 3 y 4: Cada máquina infectada recibe su primera tarea para analizar e informar una lista de al menos 80 nuevos servidores RDP de acceso público que pueden ser forzados por fuerza bruta.

Paso 5 y 6: Los atacantes asignan a cada máquina infectada un conjunto único de combinación de nombre de usuario y contraseña como su segunda tarea, obligándolos a intentarlo contra la lista de objetivos RDP que el sistema infectado recibe continuamente del servidor C&C.

Paso 7: En los intentos exitosos, la máquina infectada reporta las credenciales de inicio de sesión al servidor de C&C.

En este momento, no está claro exactamente cuántos servidores RDP ya se han visto comprometidos y participando en los ataques de fuerza bruta contra otros servidores RDP en Internet.

Una búsqueda rápida en Shodan mostró que se puede acceder a cerca de 2.4 millones de servidores RDP en Windows en Internet, y probablemente más de la mitad de ellos estén recibiendo intentos de fuerza bruta.

El Protocolo de Escritorio Remoto (RDP) apareció recientemente en las noticias por dos nuevas vulnerabilidades de seguridad, una que fue reparada por Microsoft y la otra que sigue sin arreglarse.

La vulnerabilidad que fue parcheada y apodada como BlueKeep (CVE-2019-0708), es un defecto que puede hacer que los atacantes remotos tomen el control de los servidores RDP, y en caso de que se explote con éxito, podría causar daños en todo el mundo, potencialmente mucho peor que los casos de WannaCry y NotPetya.

La vulnerabilidad sin parches reside en Windows y permitiría a los hackers del lado del cliente, eludir la pantalla de bloqueo en las sesiones de escritorio remoto.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *