Les chercheurs en sécurité ont découvert un nouveau botnet qui attaque les systèmes Windows disposant d’une connexion RDP (Remote Desktop Protocol) exposée sur Internet.
Découvert par Renato Marinho de Morphus Labs, le chercheur a indiqué que le botnet avait déjà attaqué 1 596 571 terminaux RDP, un nombre qui devrait augmenter dans les prochains jours.
Nommé GoldBrute, le botnet fonctionne comme suit:
- Le botnet tente une attaque de force brute afin d’accéder à un système Windows via RDP.
- Télécharge un fichier ZIP avec le code du programme malveillant GoldBrute.
- Analyse des nouveaux points de terminaison RDP visibles sur Internet et qui ne font pas partie de la liste principale de points de terminaison RDP de GoldBrute.
- Après avoir trouvé 80 nouveaux points de terminaison RDP, il envoie la liste des adresses IP à son serveur de commande et de contrôle.
- L’hôte infecté reçoit une liste d’adresses IP à attaquer par force brute. Pour chaque adresse IP, le bot tente de s’authentifier avec un seul nom d’utilisateur et mot de passe. Chaque bot GoldBrute reçoit un nom d’utilisateur et un mot de passe différents.
- Le bot effectue une attaque par force brute et transmet les résultats au serveur de commande
La taille du botnet GoldBrute augmente
La taille du réseau botnet GoldBrute n’est pas encore clairement définie. Ce que l’on sait, c’est que la liste de cibles figurant dans le botnet a grossi au cours des derniers jours, car elle a progressivement trouvé de nouveaux points de terminaison RDP contre lesquels lancer des attaques.
Cette croissance de la liste principale des cibles RDP de GoldBrute suggère également une augmentation de sa base de périphériques infectés.
La mauvaise nouvelle pour les entreprises et les utilisateurs exécutant des points de terminaison RDP exposés sur Internet est que le botnet est également difficile à détecter et à arrêter. En effet, chaque système infecté par GoldBrute ne lance qu’une seule tentative de recherche de mot de passe par victime, contournant ainsi les systèmes de sécurité offrant une protection en force brute.
BlueKeep a occulté le danger réel
La découverte du botnet GoldBrute a également montré qu’actuellement, les attaques par force brute restent la principale menace pour les systèmes RDP exposés en ligne.
Malgré toute la panique qui entoure la menace imminente de la vulnérabilité BlueKeep RDP, les chercheurs en matière de sécurité affirment que la plupart des attaques RDP sont aujourd’hui des attaques classiques de force brute.
Selon les statistiques publiées aujourd’hui par la société Bad Packets, les analyses RDP concernant la vulnérabilité BlueKeep ne représentent que 3,4% de tout le trafic malveillant RDP observé la semaine dernière.
D’autre part, les attaques par force brute de RDP et les tentatives d’exploitation de vulnérabilités plus anciennes représentent 96,6% des attaques. Cela montre que la décision de nombreuses entreprises de sécurité et des chercheurs en sécurité de s’abstenir de publier l’exploit BlueKeep a été une bonne décision.