Martes, Octubre 15, 2019

GoldBrute, el ejército de bots que ya está escaneando Internet y promete ser peor que WannaCry

goldbrute

Anda el mundo de la ciberseguridad revolucionado a costa de la última gran vulnerabilidad de Windows que puede generar un problema de seguridad a nivel mundial, incluso peor que el de WannaCry que tumbó medio Internet no hace demasiado. La función de Escritorio Remoto de Windows, o Remote Desktop Protocol (RDP) en inglés, y sus debilidades estarían facultando la existencia de GoldBrute, el ejército de bots que ya está escaneando Internet y promete ser peor que WannaCry.

Investigadores de seguridad acaban de descubrir una gigantesca botnet o ejército de bots que busca atacar ordenadores Windows con conexiones a Escritorio Remoto expuestas en Internet. Por el momento, esta botnet podría atacar a un total de 1,6 millones de ordenadores, aunque es posible que esa cifra aumente en los próximos días.

GoldBrute: todo sobre el ejército de bots que ya está escaneando Internet

El funcionamiento de GoldBrute es muy sencillo. Primero lanza un ataque de fuerza bruta para conseguir acceso a sistemas Windows a través de las vulnerabilidades de Escritorio Remoto. En segundo lugar, descarga el fichero comprimido en ZIP con el código del malware GoldBrute. Empieza a escanear Internet buscando otros equipos que sean vulnerables. Cuando encuentra un total de 80 equipos, manda las direcciones IP a un servidor remoto. Se repite el proceso en cada uno de estos equipos vulnerables.

escremoto

El problema es que esta botnet no para de crecer y es complicado cuantificar el número de equipos infectados. Otro problema es que, por ahora, es bastante complicado de detener debido al sistema que utiliza en cada equipo infectado y que evita que las soluciones de seguridad puedan acabar con él.

El interés en aprovechar las vulnerabilidades de Escritorio Remoto ha aumentado exponencialmente desde que Microsoft confirmara BlueKeep, un fallo crítico que fue parcheado en mayo. Este estaba presente en Windows XP, Windows 7, Windows Server 2008 y 2008 R2. El otro día comentamos que incluso hay listo un ataque contra Windows 7 y Windows XP aprovechando esta vulnerabilidad.

goldbrute-diagram

La “buena” noticia que confirman los investigadores de seguridad es que los ataques contra Escritorio Remoto y los dispositivos vulnerables siguen confiando en la fuerza bruta en lugar de aprovechar fallos críticos como BlueKeep u otros fallos graves en Windows RDP.

Microsoft e incluso la NSA, están pidiendo a todos los usuarios que tomen medidas y apliquen los parches de seguridad. En caso de no utilizar Escritorio Remoto, lo mejor es deshabilitar RDP Escritorio Remoto. Si esto no es posible, se recomienda activar Network Level Authentication (NLA) o bloquear las comunicaciones TCP en el puerto 3389.

 

Fuente: bleepingcomputer | adslzone

¿Quién está en línea?

Hay 96 invitados y ningún miembro en línea

Contador de Visitas

12517632
Hoy Hoy 45
Ayer Ayer 859
Esta semana Esta semana 904
Este mes Este mes 10851
Total de Visitas Total de Visitas 12517632

Día con más
visitantes

07-09-2019 : 3140

Gracias por su visita