Segurança

Nova botnet de força bruta foca em servidores Windows RDP

1.5 milhões de servidores se tornaram alvos de uma botnet de força bruta

Recentemente pesquisadores descobriram um novo ataque muito sofisticado a servidores Windows com RDP acessível a internet.

Uma nova botnet chamada de GoldBrute está usando ataques de força bruta para atacar servidores RDP.

O ataque de força bruta é quando são realizadas diversas tentativas de autenticação de senhas aleatórias a um alvo afim de conseguir descobrir a senha do usuário.

Certamente essa nova botnet está sendo controlada por um grupo experiente, que está utilizando técnicas sofisticadas para evitar detecção.

Para evitar a detecção os hackers por trás do ataque comanda cada servidores atacado para atacar outros servidores.

Sendo assim os ataques sempre acontecem com IP’s totalmente aleatórios espalhados ao redor do mundo.

Entendendo como funciona o novo ataque

Segundo Renato Marinho, pesquisador da Sophus Lab o ataque ocorre da seguinte forma:

Primeiro passo: Depois de conseguir invadir um servidores os hackers instalam um malware no servidor baseado em Java.

Segundo passo: Os hackers controlam os servidores através de um centro de comando centralizado, toda comunicação utiliza criptografia AES.

Terceiro e quarto passo: Cada servidor comprometido passa a escanear em busca de outros servidores e enviam um relatório para os hackers.

Quinto e sexto passo: Uma nova tarefa é enviada para o servidor infectado, que passa a tentar logar em outros servidores.

Sétimo passo: Uma vez que um login e senha são descobertos, o servidor infectado envia os dados para o centro de comando dos hackers.

 

GoldBrute Botnet ataca milhões de servidores Windows ao redor do globo
Botnet de força bruta Gold Brute

Nesse exato momento existem cerca de 2.4 milhões de servidores Windows acessíveis através da internet.

E provavelmente metade desses servidores já estão sendo atacados pela botnet de força bruta GoldBrute.

O protocolo RDP tem tomado a atenção do mundo nos últimos meses, recentemente uma nova vulnerabilidade chamada BlueKeep foi descoberta.

Conhecida como BlueKeep (CVE-2019-07-08) a vulnerabilidade afeta diversas versões do Windows e não necessita de interação do usuário.

Se devidamente explorada ela pode ser considerada mais perigosa do que o ataque do WannaCry de 2017.

Fique atento pois provavelmente os ataques irão começar a ocorrer nos próximos meses utilizando a vulnerabilidade BlueKeep.

Fonte: THN

Continue lendo…

Equipe Tech Start

Um blog com análises, tutoriais e novidades em tecnologia, segurança digital, criptomoedas e entretenimento.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *