Nei primi giorni di giugno i ricercatori di Morphus hanno dato notizia di aver riscontrato un’attività malevola che ha messo in pericolo più di un milione e mezzo di server RDP. GoldBrute, questo il nome che gli è stato dato, non è altro che una botnet che effettua una scansione di indirizzi IP casuali per trovare le i server con sistema operativo Windows che usano RDP.
Il nome di questa botnet nasce proprio dall’assunto che utilizza una lista di credenziali (nome utente + password) per violare il server RDP muovendo un attacco di tipo brute force. GoldBrute è controllata da un singolo server C&C (Command & Control), mentre i bot si scambiano dati con esso tramite connessioni WebSocket cifrate verso la porta 8333.
Per passare inosservata, la botnet in questione fa sì che ogni volta che un singolo bot individua un host attaccabile in rete questo verrà subito segnalato al C&C. Quando ne trova ottanta, il server dà al bot una serie di bersagli ai quali effettuare un attacco brute force.
Per non essere individuati, i singoli bot faranno un solo tentativo di inserimento di username e password, questo perché se gli inserimenti fossero ripetuti da parte di uno stesso indirizzo i sistemi di sicurezza entrerebbero in allarme. In questo modo invece il tentativo non riuscito viene visto come un semplice errore di un utente.
Quando l’attacco riesce, sul desktop remoto viene scaricato un file .zip delle dimensioni di 80 MB circa che, una volta decompresso, esegue un file .jar nominato bitcoin.dll. Il nuovo bot potrà quindi continuare a scandagliare i vari IP per trovare il desktop remoto da hackerare.
I ricercatori di Morphus hanno testato in modo artificiale il funzionamento di uno di questi bot in laboratorio dichiarando: “dopo 6 ore abbiamo ricevuto 2,1 milioni di indirizzi IP dal server C2, dei quali 1.596.571 unici. Naturalmente, non abbiamo eseguito la fase di brute force”.
GoldBrute è, dunque, un potenziale problema da non sottovalutare, poiché permetterebbe agli hacker di prendere il controllo del RDP e far sì che i server contagiati diventino ulteriori bot con i quali lanciare attacchi di grande portata (come ad esempio un DDoS).
Le contromisure da adottare sono le stesse già menzionate per la falla BlueKeep (qui l’articolo dedicato), ovvero: installare la patch di sicurezza CVE-2019-0708, attivare l’abilitazione a livello di rete e, infine, disattivare i desktop remoti inutilizzati per evitare che si espongano a rischi senza motivo.