Olvidémonos del BlueKeep: Cuidémonos del GoldBrute.

Compártelo en tus redes sociales...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter

Ha aparecido una red de bots que ha intentado forzar la fuerza bruta de 1.5 millones de conexiones RDP a los sistemas Windows en los últimos días, y el conteo.

Mientras todos hablan del BlueKeep este no es el principal monstruo al que temer, de acuerdo con la reciente actividad de ataque web. Más bien, un investigador advierte que la botnet GoldBrute representa la mayor amenaza para los sistemas Windows en este momento.

En los últimos días, GoldBrute (que lleva el nombre de la clase Java que usa) ha intentado forzar las conexiones del Protocolo de escritorio remoto (RDP) para 1.5 millones de sistemas Windows y contando, según el director de investigación de Morphus Labs, Renato Marinho. La botnet está explorando activamente el Internet en busca de máquinas con RDP expuesto, y está probando contraseñas débiles o reutilizadas para ver si puede obtener acceso a los sistemas.

Después de detectar inicialmente la actividad a principios de esta semana, «después de seis horas, recibimos 2.1 millones de direcciones IP del servidor C2, de las cuales 1,596,571 son únicas», escribió Marinho en una publicación el jueves, agregando que la red de bots continúa aumentando de tamaño (aunque no lo cuantificó). Hay muchos hosts disponibles: Shodan revela casi 2,5 millones de instancias de RDP expuestas en el momento de escribir este artículo.

El peligro podría ser extenso: RDP es utilizado por el soporte técnico y los administradores de TI para conectarse e interactuar con las máquinas de forma remota; También es utilizado a veces por los empleados de teletrabajo. Una vez que un atacante tiene acceso a la conexión, él o ella tiene acceso al escritorio de Windows y puede comenzar a hacer cualquier cosa que el usuario legítimo tenga permiso para hacer. Obviamente, para los operadores de GoldBrute, todos los usuarios pueden hacer pivotes en redes corporativas, implantar malware, robar información y calcular los recursos de la CPU para la encriptación o los ataques distribuidos de denegación de servicio.

Distribución de GoldBrute a partir del 6 de junio de 2019.

Hablando de quién, resulta que la botnet GoldBrute está controlada por un único servidor de comando y control (C2), asociado con una dirección IP en Nueva Jersey . Estos adversarios podrían, en teoría, llevar a cabo todos los ataques antes mencionados a gran escala, todos a la vez.

Según el investigador, el C2 está intercambiando datos con los robots a través de las conexiones WebSocket cifradas con AES al puerto 8333. Primero se le indicará a un sistema infectado que descargue el código del bot (que es un paquete muy grande de 80 MB que incluye el Java Runtime completo, Marinho dijo); una vez que se ha introducido en su host, comienza a escanear direcciones IP aleatorias para encontrar más hosts e informar las direcciones IP al C2.

«Después de que el bot informa de 80 nuevas víctimas, el servidor C2 asignará un conjunto de objetivos a fuerza bruta para el bot», dijo Marinho. “Cada bot solo intentará un nombre de usuario y una contraseña particulares por objetivo. Esta es posiblemente una estrategia para volar bajo el radar de las herramientas de seguridad, ya que cada intento de autenticación proviene de diferentes direcciones «.

La virulencia de la actividad debería hacer que los administradores se detuvieran, agregó: «Si bien la información sobre esta vulnerabilidad ‘Bluekeep’ se centró en parchar servidores vulnerables, exponer el RDP a Internet nunca ha sido una buena idea».

La vulnerabilidad de ejecución remota de código crítica de BlueKeep (CVE-2019-0708), para la cual se ha desarrollado una explotación totalmente funcional (pero mantenida en privado por los investigadores), también establece servicios de escritorio remoto abiertos para ataques. Se considera en general como la próxima gran amenaza corporativa, ya que es soportable y no requiere la interacción del usuario para propagarse. 

Sin embargo, los investigadores de Duo Security señalaron que si el objetivo es infiltrarse a través de un escritorio remoto, GoldBrute es la ruta más fácil de recorrer.

«GoldBrute destaca el hecho de que la mayor parte de la actividad de escaneo para RDP no está relacionada con BlueKeep», escribieron en una publicación el jueves. “Cuando los atacantes pueden simplemente pasar por alto las pantallas bloqueadas o adivinar las credenciales de RDP débiles, los departamentos de TI deben centrarse en asegurarse de que las máquinas no estén exponiendo innecesariamente RDP en Internet (poner una capa en medio, como una VPN, sería útil) y que los usuarios saben cómo utilizar RDP correctamente «.

Dicho esto, parchear la falla de BlueKeep , que afecta a una versión anterior de Windows, incluyendo Windows 7, Windows XP, Server 2003, Server 2008 y Server 2008 R2, obviamente también debería estar en la parte superior de la lista de tareas pendientes. Millones de sistemas siguen siendo vulnerables a ella.

Compártelo en tus redes sociales...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.