Investigadores de ciberseguridad han descubierto un nuevo ataque cibernético que se cree que es el primer intento amateur de explotar la vulnerabilidad BlueKeep RDP en la red para comprometer en masa los sistemas vulnerables para la minería de criptomonedas.
En mayo de este año, Microsoft lanzó un parche para un error de ejecución de código remoto muy crítico, denominado BlueKeep , en sus Servicios de escritorio remoto de Windows que podría explotarse de forma remota para tomar el control total de los sistemas vulnerables simplemente enviando solicitudes especialmente diseñadas sobre RDP.
BlueKeep, rastreado como CVE-2019-0708 , es una vulnerabilidad que se puede propagar automáticamente de una computadora vulnerable a otra sin requerir la interacción de las víctimas.
Se ha considerado que BlueKeep es una amenaza tan grave que desde su descubrimiento, Microsoft e incluso las agencias gubernamentales [ NSA y GCHQ ] han estado alentando continuamente a los usuarios y administradores de Windows a aplicar parches de seguridad antes de que los piratas informáticos se apoderen de sus sistemas.
Incluso muchas firmas de seguridad e investigadores individuales de ciberseguridad que desarrollaron con éxito un exploit totalmente funcional para BlueKeep se comprometieron a no lanzarlo al público por un bien mayor, especialmente porque casi un millón de sistemas se encontraron vulnerables incluso un mes después del lanzamiento de los parches.
Esta es la razón por la cual los piratas informáticos aficionados tardaron casi seis meses en encontrar un exploit BlueKeep que todavía no es confiable y ni siquiera tiene un componente que se pueda eliminar.
La explotación de BlueKeep en la red fue especulada por primera vez por Kevin Beaumont el sábado cuando sus múltiples sistemas de honeypot EternalPot RDP se bloquearon y se reiniciaron repentinamente.
huh, the EternalPot RDP honeypots have all started BSOD'ing recently. They only expose port 3389. pic.twitter.com/VdiKoqAwkr— Kevin Beaumont (@GossiTheDog) 2 de noviembre de 2019
Marcus Hutchins , el investigador que ayudó a detener el brote de ransomware WannaCry en 2017, luego analizó los volcados de memoria compartidos por Beaumont y confirmó "artefactos BlueKeep en la memoria y el código de shell para lanzar un Monero Miner".
En una publicación de blog publicada hoy, Hutchins dijo: "Finalmente, confirmamos que este segmento [en un volcado de memoria] apunta a un shellcode ejecutable. En este punto, podemos afirmar intentos de explotación BlueKeep válidos en la naturaleza, con un shellcode que incluso coincide con el del shellcode en el módulo BlueKeep Metasploit! "
El exploit contiene comandos codificados de PowerShell como carga útil inicial, que luego descarga el binario ejecutable malicioso final de un servidor remoto controlado por el atacante y lo ejecuta en los sistemas de destino.
Según el servicio de escaneo de malware VirusTotal de Google, el binario malicioso es un malware de criptomonedas que extrae Monero (XMR) utilizando la potencia informática de los sistemas infectados para generar ingresos para los atacantes.
Hutchins también confirmó que el malware propagado por este exploit de BlueKeep no contiene ninguna capacidad de propagación automática para saltar sin ayuda de una computadora a otra.
En cambio, parece que los atacantes desconocidos primero escanean Internet para encontrar sistemas vulnerables y luego los explotan.
En otras palabras, sin un componente susceptible de gusano, los atacantes solo podrían comprometer los sistemas vulnerables que están conectados directamente a Internet, pero no aquellos que están conectados internamente y son accesibles desde ellos.
Aunque los hackers sofisticados ya podrían haber estado explotando la falla de BlueKeep para comprometer sigilosamente a las víctimas, afortunadamente, la falla aún no se ha explotado a mayor escala, como WannaCry o NotPetya, como se especuló inicialmente.
