Новый ботнет «охотится» на системы с активированным протоколом удаленного рабочего стола

Исследователь компании Morphus Labs Ренато Мариньо обнаружил новый ботнет, который исследует сеть в поисках Windows-устройств с активированным протоколом удаленного рабочего стола (RDP). При их обнаружении осуществляется попытка взлома и подключения устройства к бот-сети. При этом действия ботнета отличает любопытная особенность. Он использует bruteforce-атаку, но каждый из ботов пробует лишь одну комбинацию логин-пароль. Это, очевидно, делается для того, чтобы скрыть многочисленные попытки авторизации от администраторов атакуемых устройств.

Ботнет получил название GoldBrute. В настоящий момент в списке его потенциальных жертв уже 1 596 571 устройство и число их стабильно растет. Как только каждый бот собирает информацию о 80 новых потенциально уязвимых устройствах, эти данные перенаправляются на командный сервер. В случае успешного взлома устройства оно инфицируется вредоносным ПО и становится частью ботнета, подключаясь к его активности. Конечная цель создания GoldBrute пока неясна, но киберпреступники могут найти самые разные применения масштабному ботнету – от использования его для DDoS-атак и распространения вредоносного ПО до продажи другим хакерам.


Источник:  ZDNET

Возврат к списку