La botnet GoldBrute está intentando hackear 1,5 millones de servidores RDP

17 junio, 2019
19 Compartido 2,692 Visualizaciones

Incluso los usuarios más optimistas tendrán que admitir que han sido unas cuantas semanas estresantes para cualquiera que confíe en el Protocolo de Escritorio Remoto (RDP) de Microsoft.

La última ronda de malas noticias surgió la semana pasada cuando el investigador de Morphus Labs, Renato Marinhoanunció el descubrimiento de un ataque agresivo de fuerza bruta contra 1,5 millones de servidores RDP por parte de una botnet llamada “GoldBrute”.

Eso ocurrió poco después del aviso urgente de Microsoft de mayo, sobre una vulnerabilidad peligrosa de “tipo gusano” llamada BlueKeep en los Servicios de Escritorio Remoto (RDS) de Windows XP y 7 que utiliza RDP.

Incrementando la preocupación, dos semanas después de la alerta inicial, Microsoft emitió otra cuando descubrió que al menos un millón de sistemas vulnerables aún no habían aplicado el parche existente.

El 4 de junio, la Agencia de Seguridad Nacional de los Estados Unidos (NSA) emitió su propia apocalíptica alerta sobre BlueKeep, estaba claro que creían que se estaba gestando algo importante.

Está detrás de ti

El mega ataque que explota a BlueKeep aún no se ha materializado, pero lo que mientras tanto ha surgido es GoldBrute, una amenaza mucho más básica que ataca el problema de los servidores RDP, que quedan expuestos en Internet.

Una búsqueda en Shodan sitúa la cantidad de servidores en este estado vulnerable en 2,4 millones, 1.596.571 de los cuales, según descubrió Morphus, habían sido sometidos a un intento de ataque de fuerza bruta que tenía como objetivo obtener credenciales débiles.

En cada servidor donde tiene éxito, el comando y el control carga el código de GoldBrute en formato zip, que lo utiliza como plataforma de lanzamiento para más exploraciones de servidores RDP, seguido de una nueva lista de IP y servidores para continuar realizando ataques de fuerza bruta. Según Marinho: »Cada bot solo intenta un nombre de usuario y una contraseña por objetivo. Esta es posiblemente una estrategia para volar bajo el radar de las herramientas de seguridad, ya que cada intento de autenticación proviene de diferentes direcciones».

Morphus no sabe cuántos ataques tuvieron éxito, lo cual es necesario para estimar el tamaño del bot. Sin embargo, realizaron la geolocalización de los servidores en la lista de objetivos globales siendo los principales países afectados China (876.000 servidores) y EEUU (434.000). »GoldBrute usa su propia lista y la aumenta a medida que continúa escaneando y creciendo».

RDP ha tenido problemas a lo largo de los años: en 2017 lo denominamos “Ransomware Desktop Protocol” en honor a su uso por parte de programas maliciosos de extorsión, pero los eventos de las últimas semanas sugieren que la amenaza está empeorando o, al menos, tiene un perfil más alto.

Lo que no conoces puede dañarte

Inevitablemente, algunos de los servidores que aparecen en Shodan simplemente han sido encendidos y olvidados, exponiendo a sus propietarios al peligro del riesgo de “fuera de la vista, fuera de la mente”. La primera tarea, entonces, es ver si lo mismo ocurre en su red.

Si no se necesita RDP, desactívelo mientras no se esté utilizando, tal vez establecer una regla de firewall para bloquear RDP en el puerto 3389 sea una medida segura.

Si se necesita RDP, considere usarlo a través de una VPN para que no esté expuesto en Internet.

Idealmente, también active alguna forma de autenticación multifactor de red que reduzca drásticamente el riesgo en caso de que las credenciales del servidor se vean comprometidas de alguna manera.

Normalmente, es una buena idea limitar el número de veces que se pueden intentar introducir la contraseña, aunque, como se señaló anteriormente, GoldBrute está intentando volar bajo el radar al limitarse a un intento por host comprometido.

Si hay una buena noticia con respecto a las amenazas de RDP, es que están saliendo a la luz antes del ataque masivo, y esto significa que aún hay tiempo para actuar.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

En 2018 los ciberataques dependerán de las vulnerabilidades
Actualidad
41 compartido1,085 visualizaciones
Actualidad
41 compartido1,085 visualizaciones

En 2018 los ciberataques dependerán de las vulnerabilidades

José Luis - 13 febrero, 2018

Para Trend Micro el cambiante panorama tecnológico requerirá de una gestión fiable de parches para bloquear las amenazas más recientes.…

BlueBorne: el exploit que podría afectar a miles de millones de dispositivos
Actualidad
652 visualizaciones
Actualidad
652 visualizaciones

BlueBorne: el exploit que podría afectar a miles de millones de dispositivos

Redacción - 20 septiembre, 2017

Fortinet insta a los usuarios de dispositivos con Bluetooth a estar pendientes del nuevo exploit, conocido como BlueBorne, que aprovecha las vulnerabilidades…

Vuelve SixLittleMonkeys con nuevos trucos
Sin categoría
216 visualizaciones
Sin categoría
216 visualizaciones

Vuelve SixLittleMonkeys con nuevos trucos

Alicia Burrueco - 31 julio, 2020

En febrero de este año, SixLittleMonkeys, un actor de APT también conocido como Microcin que lleva a cabo campañas de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.