Hace unas semanas se descubrió BlueKeep, una vulnerabilidad en los servicios de escritorio remoto que servía para el robo de los datos de tu empresa. Por ello, se descubrió que se ha afectado a más de un millón de dispositivos de todo el mundo. Aunque no se lanzó, ningún ataque real y se lanzó un parche contra este ataque. Ahora, se ha descubierto una amenaza mucho más letal que es GoldBrute.
Por lo que sabemos, GoldBrute es un botnet que se dedica a escanear la red de internet en busca de máquinas o aplicaciones que funcionen a través del escritorio remoto, y las va recopilando de tal forma que se cree que ha llegado a recopilar 1,5 millones de sistemas que cuentan con el escritorio remoto activo.
El funcionamiento de GoldBrute, en primer lugar se basa en acceder al escritorio remoto mediante la fuerza bruta, intentando descifrar la contraseña e ir introduciendola hasta acertar, pero esto generaría muchas sospechas ya que tiene la misma IP por lo que hace es introducir cada contraseña desde distinta IP, de tal forma que no genere sospechas.
Lo primero que hace cuando consigue entrar en el sistema, es descargar el código del bot, que es bastante pesado, 80MB, el cual está implementado en el Java Runtime, es decir, descarga un tipo de Java que se llama GoldBrute. Una vez infectado el dispositivo, se encarga de buscar desde este escritorio remoto ochenta víctimas nuevas, y cuando las tiene el servidor C&C pone una serie de objetivos al bot para que lleve a cabo una serie de ataques de fuerza bruta.
Los archivos, que entrega el botnet nunca revelan el objetivo final, de hecho, según sospechan los investigadores se entregan a una serie de cibercriminales a los que les venden el acceso a estos sistemas infectados.
Según hemos podido saber, existen hasta 2,9 millones de máquinas a las que se acceden a través de internet, y que tienen la conexión a escritorio remoto activado, y por tanto que son el punto de mira para GoldBrute. En una gran cantidad de empresas los trabajadores, se conectan a los escritorios remotos cuando no se encuentran físicamente en la oficina. Antes de que surgiera, GoldBrute las empresas ya recibían casi un 40% de los ataques a través del escritorio remoto, con lo cual antes ya suponía un peligro para ellos así que ahora mismo supone el mayor peligro mediante el ataque a escritorio remoto, y una de las mayores amenazas a nivel global después de WannaCry.
GoldBrute, una vez ha accedido a tu ordenador puede hacer lo mismo que podías hacer tú desde el mismo. Inlcuso el FBI, advirtió acerca del peligro de este malware.
Hay una serie de características de uso seguro del RDP:
En primer lugar, pensar si es realmente necesario el uso del escritorio remoto en la empresas ya que muchas veces no es de gran uso, excepto ocasiones especiales, y en cambio nos ocasiona una gran cantidad de ataques.
En segundo lugar, el uso de contraseñas seguras para proteger los ataques de la fuerza bruta que usa GoldBrute, por lo que nunca puedes usar una vieja contraseña.
En tercer lugar, la monitorización constante de los dispositivos de la empresa.