Nuova botnet sta tentando il brute-forcing di oltre 1.5 milioni di server RDP

Sono state molteplici le segnalazioni, provenienti da diversi team di sicurezza, riguardanti una sofisticatissima campagna botnet, attualmente in corso a livello mondiale: questa campagna sta tentando il brute-force di più di un milione e mezzo di server Windows RDP pubblicamente accessibili in Internet.

Ribattezzato Goldbrute, lo schema della botnet è progettato per incrementare gradualmente, aggiungendo di volta in volta un nuovo sistema infetto nella sua rete. Per rimanere invisibile agli strumenti di sicurezza e agli analisti malware, gli attaccanti dietro questa campagna inviano comandi a ciascuna macchina infetta di colpire milioni di server usando una unica combinazione di username e password, di modo che il server bersaglio riceva i tentativi di brute-force da diversi indirizzi IP.

Ecco lo schema di attacco di GoldBrute:

Fase 1: dopo un brute-force eseguito con successo su un server RDP, gli attaccanti installano il malware GoldBrute (Java-based) sulla macchina bersaglio.

Fase 2: per controllare il bot, gli attaccanti usano un server centralizzato di comando e controllo che scambia comandi e dati tramite una connessione WebSocket criptata con AES.

Fase 3 e 4: ogni bot riceve la sua prima “missione”, ovvero eseguire una scansione e riportare in elenco almeno 80 nuovi server RDP pubblicamente accessibili da sottoporre a tentativi di brute-force.

Fase 5 e 6: gli attaccanti assegnano quindi ad ogni bot un unico set di credenziali, costringendoli a tentare attacchi di brute-force contro destinazioni RDP che il sistema infetto riceve continuamente dal server C&C.

Fase 7: se un tentativo di brute-forcing va a buon fine, il bot iporta al server di comando e controllo le credenziali di login.

Al momento non è chiaro quanti siano, esattamente, i server RDP già compromessi e che stanno effettivamente partecipando ad ulteriori attacchi di brute-force come bot della rete. Sappiamo solo che una scansione veloce con Shodan rende ad oggi circa 2.4 milioni di server RDP Windows accessibili in Internet: di questi, molto probabilmente, almeno la metà ha già ricevuto un tentativo di brute-forcing.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy