Nova botnet de força bruta foca em servidores Windows RDP
1.5 milhões de servidores se tornaram alvos de uma botnet de força bruta
Recentemente pesquisadores descobriram um novo ataque muito sofisticado a servidores Windows com RDP acessível a internet.
Uma nova botnet chamada de GoldBrute está usando ataques de força bruta para atacar servidores RDP.
O ataque de força bruta é quando são realizadas diversas tentativas de autenticação de senhas aleatórias a um alvo afim de conseguir descobrir a senha do usuário.
Certamente essa nova botnet está sendo controlada por um grupo experiente, que está utilizando técnicas sofisticadas para evitar detecção.
Para evitar a detecção os hackers por trás do ataque comanda cada servidores atacado para atacar outros servidores.
Sendo assim os ataques sempre acontecem com IP’s totalmente aleatórios espalhados ao redor do mundo.
Entendendo como funciona o novo ataque
Segundo Renato Marinho, pesquisador da Sophus Lab o ataque ocorre da seguinte forma:
Primeiro passo: Depois de conseguir invadir um servidores os hackers instalam um malware no servidor baseado em Java.
Segundo passo: Os hackers controlam os servidores através de um centro de comando centralizado, toda comunicação utiliza criptografia AES.
Terceiro e quarto passo: Cada servidor comprometido passa a escanear em busca de outros servidores e enviam um relatório para os hackers.
Quinto e sexto passo: Uma nova tarefa é enviada para o servidor infectado, que passa a tentar logar em outros servidores.
Sétimo passo: Uma vez que um login e senha são descobertos, o servidor infectado envia os dados para o centro de comando dos hackers.
Nesse exato momento existem cerca de 2.4 milhões de servidores Windows acessíveis através da internet.
E provavelmente metade desses servidores já estão sendo atacados pela botnet de força bruta GoldBrute.
O protocolo RDP tem tomado a atenção do mundo nos últimos meses, recentemente uma nova vulnerabilidade chamada BlueKeep foi descoberta.
Conhecida como BlueKeep (CVE-2019-07-08) a vulnerabilidade afeta diversas versões do Windows e não necessita de interação do usuário.
Se devidamente explorada ela pode ser considerada mais perigosa do que o ataque do WannaCry de 2017.
Fique atento pois provavelmente os ataques irão começar a ocorrer nos próximos meses utilizando a vulnerabilidade BlueKeep.
Fonte: THN