skip to Main Content

Cybercrime, torna GoldBrute ed è ancora più pericoloso

Cybercrime, Torna GoldBrute Ed è Ancora Più Pericoloso

CybergON: Torna GoldBrute, la botnet del cybercrime che a giugno ha attaccato 1,5 mln di server RDP in tutto il mondo. Il malware, peraltro è ancora più pericoloso grazie a nuovi protocolli che gli permettono attacchi a più macchine. Inoltre, ci sono features non ancora operative

Il cybercrime sta diffondendo una nuova versione di GoldBrute, ancora più cattiva. Lo hanno scoperto i ricercatori di cyber security di CybergON, business unit di Elmec Informatica. Gli esperti hanno individuato un aggiornamento ancora più pericoloso del malware rilasciato a giugno, la botnet che ha attaccato 1,5 milioni di server RDP in tutto il mondo. L’aggiornamento del codice malevolo ha evidenziato alcune differenze sostanziali con la sua prima versione, che lo rendono potenzialmente ancora più pericoloso. Sono infatti stati aggiunti protocolli che permettono di lanciare attacchi cibernetici contro più macchine ed è stato creato un database – non ancora operativo – ma che potrebbe rendere ancora più persistente l’attività del malware.

Gli esperti di cyber security:  Come funziona l’infezione del malware

Secondo gli esperti di cyber security, GoldBrute scansiona e sfrutta server che espongono il servizio RDP (Remote Desktop Protocol) e che utilizzano credenziali deboli o rubate. La lista di macchine censite e potenzialmente controllate dalla botnet era di circa 1.5 milioni a Giugno 2019, ma in questo momento il numero delle “vittime” ha superato i 4 milioni. Il malware sfrutta la vulnerabilità BlueKeep (CVE-2019-0708), che può affliggere un sistema operativo Windows con l’RDP abilitato e non aggiornato. Il cybercrime, peraltro, ha nascosto il codice malevolo dietro un processo apparentemente lecito – javaw.exe – che viene scaricato sulla macchina compromessa insieme al Java Runtime, varie dll e anche un archivio zip che risulta essere protetto da password (XHr4jBYf5BV2Cd7zpzR9pEGn).

GoldBrute probabilmente sarà aggiornato ancora. Alcune parti del nuovo codice non sono ancora completamente operative

CybergON rileva anche che nella nuova versione di GoldBrute sono presenti alcune parti di codice non ancora completamente operative:

  1. il supporto a protocolli differenti dall’RDP per quanto riguarda il brute force (SSH e Telnet);
  2. l’utilizzo di un database SQL persistente in sostituzione delle liste volatili utilizzate per tenere memoria dello stato dell’esecuzione;
  3. diversi entry point per permettere l’esecuzione di differenti parti del codice, indipendentemente dall’esecuzione del malware stesso.

Ciò, con buona probabilità, significa che gli attori del cybercrime dietro al malware sono intenzionati a sfruttarlo ancora. Aggiornandolo e inserendo al suo interno ulteriori features. Di conseguenza, la community che si occupa di cyber security è in allarme e ha già cominciato a studiare le evoluzioni del codice malevolo, nonché gli impatti che questo potrebbe causare.

Back To Top