Nueva botnet GoldBrute ataca a más 1,5 millones de servidores RDP

07 Junio 2019
Alto

El investigador Renato Marinho, de Morphus Labs, descubrió una nueva botnet denominada GoldBrute, que ha realizado ataques de fuerza bruta a más de un millón y medio de servidores RDP (Protocolo de Escritorio Remoto) de Windows, a los que se puede acceder a través de Internet.

Su diseño permite reclutar equipos, los que luego son utilizados para encontrar nuevos servidores RDP disponibles que finalmente, realizan ataques de fuerza bruta para acceder a los sistemas.

Específicamente, los ciberdelincuentes ordenan a cada equipo infectado dirigirse a servidores, utilizando millones de combinaciones de nombres de usuarios y contraseñas, para que un servidor específico reciba los ataques de fuerza bruta desde diferentes direcciones IP.

Si el ataque tiene éxito, el equipo infectado reporta las credenciales de inicio de sesión al servidor Command & Control (C&C). Aún no está claro cuántos servidores RDP están comprometidos y participando en los ataques contra otros servidores RDP en Internet.

De acuerdo al investigador existen aproximadamente 2,4 millones de servidores RDP de Windows en Internet, por lo que en este momento más de la mitad de ellos están recibiendo los ataques mencionados.

Mientras Microsoft no entregue una solución para defenderse de la botnet, se recomienda lo siguiente:

- Deshabilitar los servicios RDP, si no son utilizados o necesarios.

- Bloquear el puerto 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.

- Habilitar la autenticación de nivel de red (NLA). Es una mitigación  parcial para evitar que un atacante no autenticado explote la vulnerabilidad.

El listado de las CVE se adjunta a continuación:


Tags: #windows #microsoft #goldbrute #botnet #ataquedefuerzabruta #rdp #servidoresrdp #protocolodeescritorioremoto #c&c #command&control


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.