A Escuda ens preocupem per la seguretat constantment, per aquesta raó t’expliquem el descobriment del botnet Dubbed GoldBrute que han fet diversos investigadors de seguretat, aquest software maliciós està atacant amb força més d’un milió i mig de servidors accessibles públicament des d’Internet, aquests dispositius utilitzen Windows RDP (Protocol de Windows per comunicar els servidors amb escriptoris remots).

Dubbed GoldBrute amplia el radi d’acció gradualment, el seu modus operandi uneix a la seva xarxa tots els sistemes a on s’ha introduït, els força a trobar nous servidors Windows RDP disponibles i, després, els ataca. Per saltar-se les mesures de seguretat que hi ha implantades, els atacants que hi ha darrere aquesta campanya utilitzen cada dispositiu infectat perquè seleccioni milions de servidors establint un únic nom d’usuari i contrasenya, aleshores cada servidor seleccionat rep intents d’atacs des de diferents adreces IP.

En la imatge següent s’explica la manera d’actuar que s’utilitza:

 

Aquest atac massiu ha estat descobert per Renato Marinho de Morphus Labs, autor del gràfic situat sobre aquestes línies, en aquest moment no es pot definir amb exactitud quants servidors RDP han estat infectats i implicats en aquests atacs contra altres servidors Windows RDP a Internet.

Shodan, un motor de recerca especialitzat en trobar diferents tipus d’equips connectats a Internet, afirma que aproximadament 2,4 milions de servidors Windows RDP són accessibles des d’Internet i, probablement, la meitat d’aquests està rebent atacs.

Des de Remote Desktop Protocol (RDP) s’ha notificat recentment l’existència de dues noves vulnerabilitats de seguretat. Una d’aquestes dues vulnerabilitats, la Dubbed BlueKeep ja té el seu pegat de seguretat, això evita que els atacants puguin prendre el control dels servidors RDP, en cas d’haver-ho aconseguit hi havia la possibilitat de provocar un desastre de seguretat molt pitjor que els atacs perpetrats pel WannaCry i el NotPetya l’any 2017.

L’altra vulnerabilitat anunciada encara està pendent de ser controlada per un pegat de Windows, aquesta fuga de seguretat permetria als atacants saltar-se la pantalla de bloqueig de les sessions gestionades amb escriptori remot.

En cas de creure que pots estar afectat per aquesta situació, a Escuda ens oferim  a fer una anàlisi de la seguretat de les teves xarxes. Pots contactar amb nosaltres omplint aquest formulari o trucant al 931 931 848.