Botnet voert bruteforce-aanval uit op 1,5 miljoen RDP-servers

[Captain Kirk]

Onderzoekers hebben een botnet genaamd 'GoldBrute' ontdekt dat via het remote desktopprotocol (RDP) op 1,5 miljoen servers probeert in te breken. Het botnet gebruikt zwakke en hergebruikte wachtwoorden om via RDP op de servers in te loggen.

Zodra de inlogpoging succesvol is wordt de bot op het systeem geïnstalleerd. Deze bot scant vervolgens naar willekeurige ip-adressen om meer blootgestelde RDP-servers te vinden. Deze ip-adressen worden aan de command & control-server van het botnet doorgegeven. Nadat de bot tachtig nieuwe slachtoffers heeft gerapporteerd ontvangt die een verzameling doelwitten om aan te vallen.

Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is", zegt Renato Marinho van Morphus Labs. Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken.

 

 

bron: security.nl