Los investigadores de seguridad han descubierto una campaña de botnets sofisticada en curso que actualmente está aplicando fuerza bruta a más de 1,5 millones de servidores Windows RDP de acceso público en Internet.
Doblado Oro Brutoel esquema de botnet ha sido diseñado de manera que se intensifique gradualmente agregando cada nuevo sistema descifrado a su red, obligándolos a encontrar nuevos servidores RDP disponibles y luego forzarlos.
Para pasar desapercibidos por las herramientas de seguridad y los analistas de malware, los atacantes detrás de esta campaña ordenan a cada máquina infectada que apunte a millones de servidores con un conjunto único de combinación de nombre de usuario y contraseña para que un servidor objetivo reciba intentos de fuerza bruta desde diferentes direcciones IP.
La campaña, descubierta por Renato Marinho en Morphus Labs, funciona como se muestra en la imagen ilustrada, y su modus operandi se ha explicado en los siguientes pasos:
Paso 1 – Después de forzar con éxito un servidor RDP, el atacante instala un malware de botnet GoldBrute basado en JAVA en la máquina.
Paso 2 – Para controlar las máquinas infectadas, los atacantes utilizan un servidor de comando y control fijo y centralizado que intercambia comandos y datos a través de una conexión WebSocket cifrada con AES.
Paso 3 y 4 – Cada máquina infectada recibe su primera tarea para escanear e informar una lista de al menos 80 nuevos servidores RDP de acceso público que pueden ser forzados.
Paso 5 y 6 – Luego, los atacantes asignan a cada máquina infectada un conjunto único de combinación de nombre de usuario y contraseña como su segunda tarea, obligándolos a intentarlo contra la lista de objetivos RDP que el sistema infectado recibe continuamente del servidor C&C.
Paso 7 – En los intentos exitosos, la máquina infectada informa las credenciales de inicio de sesión al servidor C&C.
En este momento, no está claro exactamente cuántos servidores RDP ya se han visto comprometidos y participan en los ataques de fuerza bruta contra otros servidores RDP en Internet.
En el momento de escribir este artículo, una búsqueda rápida de Shodan muestra que se puede acceder a alrededor de 2,4 millones de servidores RDP de Windows en Internet, y probablemente más de la mitad de ellos están recibiendo intentos de fuerza bruta.
El Protocolo de escritorio remoto (RDP) apareció en los titulares recientemente por dos nuevas vulnerabilidades de seguridad: una fue parcheada por Microsoft y la otra aún permanece sin parchear.
Doblado azulmantenerla vulnerabilidad parcheada (CVE-2019-0708) es una falla que podría permitir a los atacantes remotos tomar el control de los servidores RDP y, si se explota con éxito, podría causar estragos en todo el mundo, potencialmente mucho peor que lo que hicieron WannaCry y NotPetya como los ataques con gusanos. en 2017.
La vulnerabilidad sin parches reside en Windows que podría permitir a los atacantes del lado del cliente eludir la pantalla de bloqueo en las sesiones de escritorio remoto (RD).
