A mediados de mayo, se descubrió una vulnerabilidad en los sistemas operativos Windows más antiguos. Bautizada como BlueKeep, esta vulnerabilidad en los servicios de escritorio remoto ha afectado a más de un millón de dispositivos alrededor del mundo, aunque de momento no se ha utilizado en ningún ataque real. Ahora, un grupo de investigadores ha descubierto una amenaza que potencialmente afecta a incluso más sistemas.
GoldBrute: una amenaza al RDP
Se trata de GoldBrute, un botnet que en estos momentos está escaneando Internet de manera activa en búsqueda de máquinas de Windows con el protocolo de escritorio remoto (RDP) habilitado. Según han descubierto los investigadores, el malware ha recopilado una lista de 1,5 millones de sistemas únicos con el RDP habilitado.
Cómo funciona GoldBrute
Para acceder a un sistema, GoldBrute emplea ataques de fuerza bruta o de relleno de credenciales. Una característica curiosa del malware es que cada bot intenta una sola combinación de usuario y contraseña en cada intento de fuerza bruta. Se cree que esta táctica es para poder pasar desapercibido por las soluciones de seguridad más habituales, ya que múltiples intentos desde la misma dirección IP levantarían sospechas.
Lo primero que hace un sistema infectado con GoldBrute es descargar el código del bot. Esta descarga es muy grande – 80MB – e incluye Java Runtime. El bot en sí se implementa en una clase de Java llamado GoldBrute. Una vez dentro de un sistema, el bot empieza a escanear Internet para buscar más sistemas que puede atacar con esta táctica. Cuando ya tiene 80 víctimas nuevas, el servidor C&C asignará unos objetivos al bot para que lleve a cabo ataques de fuerza bruta.
Los archivos que entrega el botnet no revelan nada del objetivo final del ataque, pero como no tiene mecanismo de persistencia, se cree que un atacante podría estar utilizándolo para poder vender a otros cibercriminales acceso a los sistemas afectados.
El alcance del problema
Una búsqueda en Shodan, el buscador de dispositivos conectados revela que hay unos 2,9 millones de máquinas a las que se pueden acceder a través de Internet y que tienen el RDP activado. En muchas empresas, los empleados se conectan de manera externa a sus equipos con el RDP cuando no se encuentran físicamente en las oficinas y en ocasiones, los servicios de RDP no suelen estar correctamente protegidos, por lo que se convierte en un vector de ataque muy apetecible para los ciberatacantes. Con estos datos, corroboramos que GoldBrute puede convertirse en una amenaza a gran escala como lo fue en su momento Wannacry.
Es más, si consideramos que según PandaLabs, en 2018 el 40% de las empresas grandes y medianas fueron objeto de ataques a través del RDP todos los meses, se ve que incluso antes del auge actual de esta amenaza, el protocolo de escritorio remoto ya suponía un peligro en potencia.
Si un atacante consigue acceder a un equipo utilizando un RDP inseguro, no hay límite para lo que puede hacer. De hecho, puede hacer todo lo que puede hacer un usuario legítimo: acceder a datos y archivos locales, instalar programas, moverse de manera lateral en la red corporativa, o incluso utilizar en CPU del equipo para minar criptomonedas.
Uso seguro del RDP
Pero esta no es ni mucho menos la única ciberamenaza que se aprovecha del RDP. En septiembre del año pasado, el FBI advirtió acerca del peligro que suponen los ataques a través de este protocolo. Por lo tanto, conviene proteger tu empresa contra todos los posibles problemas que este protocolo puede causar.
1.- ¿Es realmente necesario el RDP? Puede parecer obvio, pero un atacante solo puede llegar a tu equipo a través del RDP si lo tienes activo. Por lo tanto, conviene cuestionarse si realmente hace falta habilitar este protocolo en tu organización
2.- Contraseñas seguras. Para proteger el endpoint contra los ataques de fuerza bruta, es muy importante utilizar una contraseña segura y no reciclar las contraseñas viejas. Este último punto es especialmente importante para evitar los ataques de relleno de credenciales – un ataque que intenta acceder al sistema con contraseñas recopiladas en antiguas brechas de datos.
3.- Monitorización constante. Solemos decir que la seguridad al 100% no existe. No obstante, las posibilidades de sufrir un ciberataque se reducen drásticamente si sabes saber exactamente lo que ocurre en la red corporativa en todo momento. Panda Adaptive Defense proporciona en tiempo real una visibilidad total de todos los procesos activos y actúa ante posibles peligros incluso antes de que se produzcan. De esta manera, ninguna ciberamenaza podrá vulnerar los equipos en tu parque informático.
De momento este botnet no se ha utilizado en ningún ciberataque, ni en ninguna campaña maliciosa. Sin embargo, podría ser una cuestión de tiempo antes de que veamos el objetivo final de GoldBrute. Por lo tanto, es vital que tu sistema informático esté protegido.