SSI EXP – Un botnet s’attaque à plus de 1,5 million de serveurs RDP

La taille du botnet GoldBrute augmente

La taille du réseau botnet GoldBrute n’est pas encore clairement définie. Ce que l’on sait, c’est que la liste de cibles figurant dans le botnet a grossi au cours des derniers jours, car elle a progressivement trouvé de nouveaux points de terminaison RDP contre lesquels lancer des attaques.

Cette croissance de la liste principale des cibles RDP de GoldBrute suggère également une augmentation de sa base de périphériques infectés.

La mauvaise nouvelle pour les entreprises et les utilisateurs exécutant des points de terminaison RDP exposés sur Internet est que le botnet est également difficile à détecter et à arrêter. En effet, chaque système infecté par GoldBrute ne lance qu’une seule tentative de recherche de mot de passe par victime, contournant ainsi les systèmes de sécurité offrant une protection en force brute.
BlueKeep a occulté le danger réel

La découverte du botnet GoldBrute a également montré qu’actuellement, les attaques par force brute restent la principale menace pour les systèmes RDP exposés en ligne.

Malgré toute la panique qui entoure la menace imminente de la vulnérabilité BlueKeep RDP, les chercheurs en matière de sécurité affirment que la plupart des attaques RDP sont aujourd’hui des attaques classiques de force brute.

Selon les statistiques publiées aujourd’hui par la société Bad Packets, les analyses RDP concernant la vulnérabilité BlueKeep ne représentent que 3,4% de tout le trafic malveillant RDP observé la semaine dernière.

D’autre part, les attaques par force brute de RDP et les tentatives d’exploitation de vulnérabilités plus anciennes représentent 96,6% des attaques. Cela montre que la décision de nombreuses entreprises de sécurité et des chercheurs en sécurité de s’abstenir de publier l’exploit BlueKeep a été une bonne décision.

« L’activité du réseau de robots GoldBrute indique que les cybercriminels continuent à utiliser des techniques classiques de force brute au lieu d’exploiter BlueKeep pour cibler les terminaux RDP », a déclaré aujourd’hui Troy Mursch, fondateur de Bad Packets, à ZDNet.

Bien sûr, le fait que les pirates informatiques n’aient pas trouvé le moyen d’exploiter la vulnérabilité BlueKeep ne signifie pas que les entreprises doivent retarder l’application des correctifs.

Au contraire; Microsoft et la NSA ont tous les deux émis des avertissements exhortant les utilisateurs à appliquer les mises à jour de sécurité le plus rapidement possible.

Source : A botnet is brute-forcing over 1.5 million RDP servers all over the world

https://www.zdnet.fr/actualites/un-botnet-s-attaque-a-plus-de-15-million-de-serveurs-rdp-39885679.htm