Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Los servidores Windows RDP en el punto de mira de la botnet GoldBrute

Fecha de publicación 14/06/2019

El investigador en ciberseguridad Renato Marinho, de Morphus Labs, ha descubierto una nueva botnet que emplea un ataque por fuerza bruta contra 1,5 millones de servidores públicos Windows RDP (Remote Desktop Protocol).

Esta campaña, bautizada como GoldBrute, comienza realizando un ataque por fuerza bruta contra un servidor RDP. Una vez conseguido el acceso despliega un malware basado en Java encargado de comunicarse con el único servidor de Comando y Control (C&C). Las máquinas infectadas, tienen como primera tarea escanear la red y enviar al servidor de C&C un listado de, al menos, 80 nuevos servidores RDP accesibles que puedan ser vulnerables. Después, comienza la fase de ataque por fuerza bruta en la que el malware recibe y ataca de manera continuada combinaciones de “host + usuario + contraseña” contra los objetivos. En los casos de éxito, la maquina infectada devuelve las credenciales de acceso al servidor de C&C.