L'ANALISI

GoldBrute, la nuova variante della botnet ha già colpito 4 milioni di server RDP: i dettagli

È stata scoperta una nuova variante della botnet GoldBrute che sta prendendo di mira i server RDP (Remote Desktop Protocol) in tutto il mondo per trasformarli in altri bot ai comandi dei criminal hacker. Ecco tutti i dettagli tecnici e i consigli per mitigare i rischi di un possibile attacco

16 Dic 2019

È stata scoperta in Italia dagli analisti di CybergON, business unit di Elmec Informatica, una variante ancora più pericolosa della botnet GoldBrute già identificata e analizzata lo scorso mese di giugno.

Il malware che si diffonde mediante la botnet consente di individuare e sfruttare server che espongono il servizio RDP (Remote Desktop Protocol) e che utilizzano credenziali deboli o rubate. Al momento sarebbero oltre 4 milioni le macchine censite e potenzialmente controllate da GoldBrute: erano 1,5 milioni i server presi di mira dalla botnet nei primi mesi di giugno.

I dettagli della nuova variante della botnet GoldBrute

Secondo gli analisti di sicurezza, nella nuova versione della botnet GoldBrute sono presenti alcune parti di codice malevolo non ancora completamente operative:

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
  • il supporto a protocolli differenti dall’RDP per quanto riguarda il brute force (SSH e Telnet);
  • l’utilizzo di un database SQL persistente in sostituzione delle liste volatili utilizzate per tenere memoria dello stato dell’esecuzione
  • diversi entry point che consentono l’esecuzione di differenti parti del codice, indipendentemente dall’esecuzione del malware stesso.

La nuova variante di GoldBrute si nasconde dietro il processo javaw.exe, apparentemente lecito, che viene scaricato sulla macchina compromessa insieme al Java Runtime, varie librerie in formato DLL e ad un archivio ZIP protetto con la password XHr4jBYf5BV2Cd7zpzR9pEGn.

Dall’analisi del file ZIP si scopre che al suo interno si nascondono due file di testo:

  1. il primo file contiene circa 4 milioni di coppie <indirizzo IP>:<porta>;
  2. il secondo contiene circa 14 mila coppie <username>:<password> che vengono utilizzate per l’attività di brute force.

La prima azione malevola della botnet GoldBrute sulla macchina compromessa è l’esecuzione del malware stesso mediante il seguente comando:

C:Users<username>AppDataLocalbitcoinsbinjavaw.exe -server -d64 -Xms64m -jar C:Users<username>AppDataLocalbitcoinsbinbtclibrary.dll

dove il file btclibrary.dll è, in realtà, un file Java Archive Data (JAR) contenente le varie classi di libreria appartenenti al malware.

Come funzionava la prima variante di GoldBrute

L’azione malevola della prima variante della botnet GoldBrute prevedeva una scansione di indirizzi IP casuali per rilevare le macchine con sistema operativo Windows installato su cui è attivo il servizio di Remote Desktop Protocol.

Inoltre, il nome GoldBrute deriva dal fatto che la botnet utilizza un proprio dizionario contenente un elenco di credenziali composte da nome utente e password per cercare di bucare il server RDP mediante un attacco di tipo brute force.

Inoltre, secondo i ricercatori dei Morphus Labs che lo scorso mese di giugno hanno identificato le prime attività malevoli della botnet, GoldBrute sarebbe controllata da un unico server C&C (Command & Control) accessibile all’indirizzo 104[.]156[.]249[.]231 e le comunicazioni tra questo e i singoli bot avvengono tramite connessioni WebSocket crittografate con l’algoritmo AES sulla porta 8333.

GoldBrute: la botnet invisibile

La botnet GoldBrute sfrutta, inoltre, una particolare tecnica di attacco per cercare di nascondere le sue attività ai radar dei vari sistemi di sicurezza.

Ogni volta che un bot individua un host esposto su Internet, lo segnala immediatamente al server C&C. Appena ne trova 80, il server assegna al bot un set di bersagli da colpire mediante un attacco brute force.

È interessante notare che ogni bot proverà una sola combinazione di nome utente e password contro il bersaglio: si tratta di una strategia utile ad evitare rilevamenti di accessi non autorizzati da parte dei sistemi di sicurezza installati sulla macchina target. Ogni singolo tentativo dei vari bot proviene ovviamente da indirizzi diversi e verrebbe quindi scambiato per un semplice errore nel tentativo di accesso da parte di un utente remoto e non per una manovra offensiva.

Una volta che l’attacco ha avuto successo, sul server RDP “bucato” viene scaricato un pacchetto ZIP da circa 80 MB contenente il Java Runtime e la classe Java per l’esecuzione di un nuovo bot GoldBrute. Dopo aver decompresso il file ZIP, viene immediatamente eseguito un file .jar chiamato bitcoin.dll.

Così facendo, il nuovo bot viene attivato e subito inizia la sua azione di scansione di Indirizzi IP su Internet alla ricerca di altri possibili server RDP da hackerare.

Per comprendere la pericolosità della botnet GoldBrute, i ricercatori hanno simulato il funzionamento di un bot in ambienti di laboratorio. I risultati pubblicati sono stati a dir poco allarmanti: “dopo 6 ore abbiamo ricevuto 2,1 milioni di indirizzi IP dal server C2, di cui 1.596.571 unici. Naturalmente, non abbiamo eseguito la fase di brute force”.

I consigli per proteggersi

La botnet GoldBrute rappresenta dunque una nuova minaccia che prende di mira i server Remote Desktop Protocol così come già successo con la vulnerabilità wormable BlueKeep già patchata da Microsoft o come l’altra zero-day per la quale non è stata ancora rilasciato (e forse non lo sarà mai) un aggiornamento di sicurezza e che potrebbe consentire ad un attaccante remoto di hackerare il sistema di accesso a doppia autenticazione su sistemi Windows 10 1803 e Windows Server 2019.

Una minaccia, dunque, da non sottovalutare perché il protocollo RDP consente di accedere da remoto ad una macchina per averne il controllo completo: non a caso è utilizzato dagli amministratori di rete e di sistema e per l’assistenza remota.

Un aggressore in grado di hackerare un server RDP potrebbe quindi sfruttare questa opportunità per diffondere malware, rubare dati riservati o, come nel caso della botnet GoldBrute, trasformare le macchine infette in ulteriori bot da usare per lanciare massicci attacchi di tipo DDoS.

Per proteggersi dalla botnet GoldBrute, quindi, è importante installare innanzitutto la patch CVE-2019-0708 già rilasciata da Microsoft per correggere la vulnerabilità BlueKeep.

È utile, inoltre, abilitare l’autenticazione a livello di rete per impedire a qualsiasi aggressore non autenticato di sfruttare questa nuova vulnerabilità wormable.

È buona norma, infine, disabilitare eventuali server RDP non utilizzati per non esporli inutilmente su Internet.

Articolo pubblicato lo scorso 11 giugno e aggiornato in seguito alla scoperta della nuova variante della botnet GoldBrute.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr