En Escuda nos preocupamos por la seguridad constantemente, por esta razón te contamos el descubrimiento del botnet Dubbed GoldBrute que han hecho varios investigadores de seguridad, este software malicioso está atacando con fuerza más de un millón y medio de servidores de todo el mundo accesibles públicamente desde Internet, estos dispositivos utilizan Windows RDP (Protocol de Windows para comunicar los servidores con escritorios remotos).

Dubbed GoldBrute amplía el radio de acción gradualmente, su modus operandi une a su red todos los sistemas donde se ha introducido, los fuerza a encontrar nuevos servidores Windows RDP disponibles y, después, los ataca. Para saltarse las medidas de seguridad que hay implantadas, los atacantes que hay detrás de esta campaña utilizan cada dispositivo infectado para que seleccione millones de servidores estableciendo un único nombre de usuario y contraseña, entonces cada servidor seleccionado recibe intentos de ataque desde diferentes direcciones IP.

En la imagen siguiente se explica la manera de actuar que se utiliza:

 

Este ataque masivo ha sido descubierto por Renato Marinho de Morphus Labs, autor del gráfico situado sobre estas líneas, en este momento no se puede definir con exactitud cuántos servidores RDP han sido infectados e implicados en estos ataques contra otros servidores Windows RDP en Internet.

Shodan, un motor de búsqueda especializado en encontrar diferentes tipos de equipos conectados a Internet, afirma que aproximadamente 2,4 millones de servidores Windows RDP son accesibles desde Internet y, probablemente, la mitad de ellos está recibiendo ataques.

Des de Remote Desktop Protocol (RDP) se ha notificado recientemente la existencia de dos nuevas vulnerabilidades de seguridad. Una de estas dos vulnerabilidades, la Dubbed BlueKeep ya tiene su parche de seguridad, esto evita que los atacantes puedan tomar el control de los servidores RDP, en caso de haberlo conseguido había la posibilidad de provocar un desastre de seguridad mucho peor que los ataques perpetrados por el WannaCry y el NotPetya el año 2017.

La otra vulnerabilidad anunciada aún está pendiente de ser controlada por un parche de Windows, esta fuga de seguridad permitiría a los atacantes saltarse la pantalla de bloqueo de las sesiones gestionadas con escritorio remoto.

En caso de creer que puedes estar afectado por esta situación, en Escuda nos ofrecemos a hacer un análisis de la seguridad de tus redes. Puedes contactarnos rellenando este formulario o llamando al 931 931 848.