GoldBrute, una nueva botnet que afecta a 1.5 millones de servidores RDP en todo el mundo


RDP, el protocolo de escritorio remoto, ha sido noticia durante el último tiempo después de que Microsoft reparó una vulnerabilidad crítica de ejecución remota de código (CVE-2019-0708). Si bien los informes sobre esta vulnerabilidad bautizada como "Bluekeep" se enfocaron en parchear servidores vulnerables, la exposición de RDP a Internet nunca ha sido una buena idea en materia de seguridad.

Los ciberdelincuentes aprovechan cada nueva oportunidad para explotar estos servidores debido a los problemas recientes de seguridad de Microsoft, consecuencia de esto, es una nueva botnet identificada como GoldBrute, la cual está escaneando en Internet para buscar máquinas con Windows que cuenten con el protocolo de escritorio remoto (RDP) habilitado.

La red de bots actualmente se dirige a más de 1.5 millones de endpoints, utilizada para forzar las conexiones RDP o para llevar a cabo ataques de credential stuffing (forzar nombres de usuarios y passwords genéricas).

GoldBrute actualmente tiene un solo servidor de comando y control (C2) con la dirección IP 104[.]156[.]249[.]23, y los bots intercambian datos con este a través de conexiones WebSocket encriptadas con AES por el puerto 8333.

El flujo de ataque completo es el siguiente:
  1. La botnet realiza ataques de fuerza bruta a las conexiones RDP, obteniendo acceso a un sistema Windows desprotegido.
  2. Se descarga un gran archivo .zip que contiene el código (desarrollado en el lenguaje de programación Java) de GoldBrute y Java Runtime necesario para ejecutar la botnet, este se descomprime y ejecuta un archivo .jar ofuscado como "bitcoin.dll".
  3. El bot comenzará a escanear la Internet en busca de servidores RDP vulnerables y enviará sus direcciones IP al C2 que, para luego, enviar una lista de direcciones IP.
  4. El bot de GoldBrute obtiene diferentes muestras de "host + nombre de usuario + contraseña".
  5. Finalmente se realiza el ataque de fuerza bruta y reporta el resultado al servidor C2.
Según la investigación, la lista de objetivos "vulnerables" de RDP está creciendo rápidamente, esto por lógica, aumenta el tamaño de la botnet y de las victimas.



COMENTARIOS

Nombre

Adware,3,android,19,Antivirus,2,Apple,10,Apps,8,Arkavia Networks,11,Ataques,3,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,1,Cibercrimen,86,ciberseguridad,61,Cloud,1,CMS,1,CPU,2,Criptomonedas,3,cyber day,2,Cyberwarfare,2,Dark Web,2,Data Leak,4,Deep Web,4,Ecommerce,1,Empresas,90,Eventos,4,Exploits,3,F5 Networks,1,Facebook,5,Firmware,1,google,22,Hacking,54,Hardware,7,Industria,5,Instagram,2,Intel,2,Internacional,33,Internet,28,Investigacion,4,ios,2,IoT,3,ISO,1,Linux,4,Malware,18,Malwares,32,Microsoft,19,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,1,phishing,9,Protocolos,11,Ransomware,3,Recomendaciones,14,Redes,22,redes sociales,11,Rootkit,1,Salud,2,Servicios,2,Smartphones,17,Software,15,Spyware,8,updates,19,Vulnerabilidades,47,Web,3,WhatsApp,1,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: GoldBrute, una nueva botnet que afecta a 1.5 millones de servidores RDP en todo el mundo
GoldBrute, una nueva botnet que afecta a 1.5 millones de servidores RDP en todo el mundo
https://1.bp.blogspot.com/-b3StecpwI0Q/XPqLFQeeBiI/AAAAAAAABfY/e0Wnei0NAjUfe_4yA2Em9xhWTjH0fYNUwCLcBGAs/s640/GoldBrute.jpg
https://1.bp.blogspot.com/-b3StecpwI0Q/XPqLFQeeBiI/AAAAAAAABfY/e0Wnei0NAjUfe_4yA2Em9xhWTjH0fYNUwCLcBGAs/s72-c/GoldBrute.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/06/goldbrute-una-nueva-botnet-que-afecta.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/06/goldbrute-una-nueva-botnet-que-afecta.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy