Goldbrute, la botnet que busca conexiones RDP

A mediados de mayo de este año se descubrió una vulnerabilidad en varias familias de sistemas operativos pre Windows 10. De nombre Blueekeep, esta vulnerabilidad afecta a RDS o Remote Desktop Services (servicios de escritorio remoto) en sistemas de Microsoft como Windows XP, 7 y 8.

Hasta ahora, nunca se había utilizado en ataques reales… hasta ahora.

Goldbrute amenaza las conexiones RDP

La nueva amenaza de moda es Goldbrute, actualmente expendiéndose rápidamente por internet como señalan algunos laboratorios de seguridad. Esta botnet busca servicios de RDP expuestos a internet que estén habilitados.

Nada menos que 1,5 millones de aparatos conectados a la WAN (Wide Area network, o simplememente Internet) serían víctimas potenciales de Goldbrute.

El malware lo que hace es lo que se denomina «credential stuffing» o alimentar credenciales de forma masiva (hablamos de combinaciones de usuario/contraseña previamente filtradas en fugas de información).

Resulta destacable que cada bot de la cadena formada por Goldbrute solamente intentará lanzar una única combinación de usuario/contraseña. Entendemos que lo hace para evitar los «baneos» o bloqueos de las soluciones de seguridad como firewalls/IDS comunes.

Una vez consigue entrar al sistema de esta manera, el malware descarga para sí mismo el código que le permitirá funcionar como un miembro de la botnet de pleno derecho, nada menos que 80 MB. Esto le permitirá hablar con su servidor de control (C2) para recibir órdenes y saber cómo comportarse.

Datos sobre el peligro potencial

Algunos análisis realizados con Shodan (una popular web donde encontrar sistemas abiertos, sin seguridad) muestra nada menos que 2,9 millones de dispositivos con Remote Desktop Protocol de Microsoft activo, en todo el mundo.

Según Panda, en 2018 la friolera de un 40% de empresas fueron atacadas mediante ataques contra protocolo RDP, cada mes. Esto demuestra que sigue siendo un favorito de cualquier grupo cibercriminal.

Si un atacante consigue acceder a tu equipo mediante RDP, prácticamente no hay límites respecto a lo que puede hacer. Sobre todo si no has habilitado la autenticación a nivel de red!

Algunos consejos para usar RDP de forma segura

Los servicios de escritorio remoto de Microsoft son muy útiles, pero conviene plantearse las siguientes cuestiones para estar protegidos:

  • ¿Realmente lo necesitas? Siguiendo la política de mínimo privilegio/mínima superficie de ataque, todo aquello que no utilicemos debería ser desactivado.
  • ¿Usas contraseñas seguras? Para proteger servicios de cualquier tipo es neecesario emplear credenciales únicas y fuertes, Escritorio Remoto no es una excepción.
  • ¿Monitorizas los servicios?  Tanto si eres un particular como si eres administrador en una empresa, deberías intentar beneficiarte de la información que bridan herramientas de seguridad perimetral, ya que podrían darte avisos de un «mal uso» de estos servicios.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.