Новый ботнет брутфорсит более 1,5 млн конечных точек по всему миру

Ландшафт киберугроз дополнился новым ботнетом, атакующим системы Windows, на которых запущено RDP-соединение, открытое в Сеть. Об угрозе рассказал Ренато Мариньо, эксперт из компании Morphus Labs.

По словам Мариньо, ботнет пытается атаковать 1 596 571 конечных точек, и эта цифра будет только расти в ближайшие дни, считает исследователь.

Ботнет получил имя GoldBrute. Алгоритм его работы можно разложить следующим образом:

1. Ботнет проводит брутфорс-атаку, пытаясь получить доступ к системе Windows через RDP.
2. Далее загружается ZIP-файл с вредоносным кодом GoldBrute.
3. Сеть сканируется на наличие новых жертв.
4. Если находится 80 новых потенциальных целей, вредонос отправляет список IP-адресов на свой командный сервер (C&C).
5. После получения списка адресов для каждого будет подбираться имя пользователя и пароль.
6. Бот осуществляет брутфорс-атаку и отправляет результаты обратно на C&C-сервер.

Эксперт предупреждает, что масштабы GoldBrute растут быстрыми темпами.

Напомним, что на днях количество актуальных киберугроз дополнилось еще одной 0-day уязвимостью, которая позволяет атакующему перехватить сессии RDS (Remote Desktop Services, службы удаленного рабочего стола). Этот вектор атаки приводит к получению контроля над целевым устройством.