Altere as Suas Senhas Fracas de Servidor o Mais Rápido Possível, se Você não Quiser Enfrentar o GoldBrute
Aqueles de vocês que se interessaram pelo cenário de ameaças online nos últimos anos provavelmente sabem o que é o RDP (Microsoft Remote Desktop Protocol). Você já o viu sendo usado em mais de alguns ataques de ransomware em larga escala, por exemplo, e também ouviu falar de uma vulnerabilidade de segurança descoberta recentemente que poderia permitir a execução remota de código em sistemas habilitados para RDP. O CVE-2019-0708, também conhecido como BlueKeep, é tão perigoso que a Microsoft lançou patches mesmo para versões do Windows há muito tempo sem suporte.
Embora o patch já esteja disponível há quase um mês, os pesquisadores dizem que ainda existem mais de um milhão de hosts por aí que possuem RDP e podem ser explorados. Neste momento, não há código acessível ao público que possa comprometer com êxito os sistemas vulneráveis, mas os especialistas já confirmaram que é possível escrever e argumentam que é apenas uma questão de tempo até que os criminosos os alcancem. Se o fizerem, as consequências podem ser mais graves do que o enorme surto de WannaCry de 2017, e é por isso que até a NSA está aconselhando os administradores de sistema a aplicar a atualização da Patch Tuesday de maio de 2019 e proteger suas redes. Na semana passada, os pesquisadores do Morphus Labs descobriram que instalar o patch não é a única coisa que os administradores de sistemas devem considerar.
Table of Contents
Quem Precisa de Explorações Sofisticadas Quando Você Tem Senhas Fracas?
Como já mencionamos, o RDP esteve no centro de mais de alguns ataques cibernéticos nos últimos anos, e o mais recente parece vir na forma da botnet GoldBrute, que, ao contrário do BlueKeep, foi detectada na natureza e é realmente bastante ativo.
Os pesquisadores conseguiram se apossar de uma amostra e, embora não sejam capazes de dizer quantos terminais o GoldBrute afetou até agora, eles fizeram uma análise cuidadosa e descobriram que, no total, os criminosos querem comprometer cerca de 1,5 milhão de hosts que possuem RDP ativado. Não há nenhuma vulnerabilidade de segurança inteligente ou exploração sofisticada envolvida. Como o próprio nome sugere, as trincas do GoldBrute abrem os pontos finais do RDP usando o ataque de força bruta antigo, mas com ouro.
O GoldBrute pode não ser a Ameaça Mais Avançada, Mas Dificilmente é um Brinquedo de Roteiro Infantil
No momento, a funcionalidade do GoldBrute parece estar limitada à pesquisa e recrutamento de novos bots. De um modo geral, o ataque de força bruta é considerado uma das armas mais cruéis do arsenal dos hackers. Dito isto, a maneira como os operadores da GoldBrute o implementaram é bastante inteligente.
Depois que as credenciais de login do RDP de uma vítima são adivinhadas, o GoldBrute baixa, extrai e executa o código bot. O primeiro passo é verificar alguns IPs aleatórios para encontrar mais hosts RDP que possam ser comprometidos. O bot coleta uma lista de oitenta alvos em potencial e a envia de volta ao servidor de Comando e Controle (C&C). O C&C instrui o bot a tentar forçar com força bruta um conjunto diferente de IPs.
O interessante do GoldBrute é que cada bot tenta apenas uma combinação de nome de usuário e senha por destino. Isso significa que as várias tentativas de login com falha vêm de muitos IPs diferentes e, portanto, têm menos probabilidade de acionar mecanismos de bloqueio automático ou levantar suspeitas.
É Hora de Mudar as Suas Senhas Fracas
As pessoas que abusam do RDP vêm de todas as extremidades do espectro do crime cibernético. Os bandidos que finalmente criarão uma exploração selvagem que envolve o BlueKeep provavelmente serão muito sofisticados e altamente motivados. Enquanto isso, embora não sejam crianças de script, os operadores da GoldBrute não são o grupo de hackers mais avançado que o mundo já viu. No entanto, proteger seus PCs e servidores contra eles também é importante.
Se você não precisar usar o RDP regularmente, desative o serviço e feche todas as portas de rede associadas a ele. Se você precisar, proteja-o com uma senha forte e considere adicionar um sistema de autenticação multifatorial para garantir que suas credenciais de login não sejam o único ponto de falha para toda a sua rede.
