Global Preloader
Vulnerabilidad
(07/Jun/2019) GoldBrute, el botnet que afecta a 1.5 millones de servidores RDP.

GoldBrute, el botnet que afecta a 1.5 millones de servidores RDP.

El día de hoy, investigadores de Morphus Labs descubrieron un botnet que ha estado atacando 1 millón 596 mil 571 servidores Windows RDP.

GoldBrute fue diseñado para escalar gradualmente cada nuevo sistema agrietado a su red, obligándolos a encontrar nuevos servidores RDP disponibles y luego forzándolos. Los hackers ordenan a cada computadora infectada a que se dirijan a millones de servidores.

Su funcionamiento es de la siguiente manera:

1) Obtienen acceso a un sistema Windows a través de RDP.

2) Descargan un archivo ZIP con el código de malware GoldBrute.

3) Exploran los nuevos puntos finales de RDP de Internet que no forman parte de la lista principal de GoldBrute.

4) Envían la lista de direcciones IP a su servidor remoto de comando y control.

5) El host infectado recibe una lista de direcciones IP.

6) Cada bot de GoldBrute obtiene un combo de nombre de usuario y contraseña diferente.

7) El bot realiza un ataque y lo reporta al servidor de C&C.

Por último, el botnet es difícil de detectar ya que el sistema infectado con GoldBrute solo lanza un intento de adivinar la contraseña y así evitar que la seguridad se active.

Más información:

https://www.zdnet.com/article/a-botnet-is-brute-forcing-over-1-5-million-rdp-servers-all-over-the-world/