Se registra el primer ataque masivo que explota la vulnerabilidad BlueKeep de Windows
La vulnerabilidad de ejecución remota de código de BlueKeep en los Servicios de escritorio remoto de Windows se está explotando actualmente en el entorno.
Las máquinas vulnerables expuestas en la web, aparentemente están comprometidas para fines de minería de criptomonedas.
Los intentos han sido registrados por honeypots que exponen solo el puerto 3389, específico para conexiones de asistencia remota a través del Protocolo de escritorio remoto (RDP).
Los ataques no son wormable
El investigador de seguridad Kevin Beaumont notó el sábado que múltiples honeypots en su red de honeypot EternalPot RDP comenzaron a fallar y reiniciarse.
Han estado activos durante casi medio año y esta es la primera vez que cayeron. Por alguna razón, las máquinas en Australia no dejaron de funcionar, señaló el investigador en un tweet.
Los primeros detalles sobre BlueKeep como la causa de estos eventos provienen de MalwareTech, que investigó los registros de las máquinas de Beaumont. Dijo que “encontró rastros de BlueKeep en la memoria y el código de shell para minar Monero”.
Según los primeros análisis de MalwareTech, un payload inicial ejecuta un comando codificado de PowerShell que descarga un segundo script de PowerShell, también codificado.
El investigador dice que el payload final es un minero de criptomonedas, probablemente para Monero, actualmente detectado por 25 de 68 motores antivirus en la plataforma de escaneo VirtusTotal.
Según ha revelado el investigador, el malware puede no ser un gusano, pero está explotando en masa la vulnerabilidad BlueKeep.
Esto indica que los ciberdelincuentes están utilizando un escáner de BlueKeep para encontrar sistemas vulnerables expuestos en la web, y de esta manera colocar el minero de criptomonedas en ellos.
En una actualización, MalwareTech dice que el análisis del tráfico de red no indica autopropagación, lo que significa que el servidor que realiza la explotación obtiene las direcciones IP de destino de una lista predefinida.
It looks like a #BlueKeep worm has finally arrived! Kevin kindly sent me a crash dump and after some investigation I found BlueKeep artifacts in memory and shellcode to drop a Monero Miner. https://t.co/7G88YAW5lr
— MalwareTech (@MalwareTechBlog) November 2, 2019
El primer exploit público para BlueKeep se agregó a Metasploit en septiembre, pero los escáneres para la vulnerabilidad estaban disponibles antes de esa fecha.
Mismo código
El análisis de MalwareTech confirmó que el mismo código en el módulo Metasploit también está presente en el malware.
Es probable que quien esté detrás de estos ataques esté utilizando recursos públicos y no haya desarrollado una amenaza confiable y transmisible, como lo demuestran los accidentes de honeypot de Beaumont.
En julio, se informó una combinación de minero de criptomonedas y un escáner de BlueKeep en una parte de un malware llamada Watchbog, que generalmente se enfocaba en servidores Linux vulnerables.
En ese momento, la compañía de ciberseguridad Intezer dijo que la integración del módulo de escáner para la vulnerabilidad RDP junto con las vulnerabilidades de Linux “sugiere que WatchBog está preparando una lista de sistemas vulnerables para apuntar en el futuro o para vender a terceros para obtener ganancias”.
MalwareTech asegura que los indicadores de compromiso que Intezer proporcionó para Watchbog. no parecen coincidir con el malware que afecta actualmente a las máquinas vulnerables a BlueKeep.
Estos ataques generaron más de 26 millones de eventos en la infraestructura honeypot de Beaumont, lo que hace que determinar los indicadores de compromiso sea una tarea que requiere más tiempo.
Sin embargo, el investigador prometió clasificarlos por la secuencia relevante y proporcionar los datos.
Beaumont señala que el bloqueo y el reinicio de sus máquinas honeypot de la explotación masiva de BlueKeep comenzaron el 23 de octubre.
“Durante las siguientes semanas, todos los honeypots dejaron de funcionar y se reiniciaron (excepto uno en Australia) con creciente regularidad”.
La actividad escapó de su observación hasta el sábado, ya que no estaba monitoreando activamente los sistemas. El investigador dice que hay más de 724,000 sistemas en todo el mundo susceptibles de explotación a BlueKeep.
Breve historia de BlueKeep
BlueKeep (CVE-2019-0708) es una vulnerabilidad grave que puede permitir que el malware se propague por los sistemas conectados sin la intervención del usuario.
Microsoft lo parchó el 14 de mayo, seguido de un aluvión de alertas sobre su gravedad por parte de los gobiernos y las empresas de seguridad, algunos reiterando su preocupación.
Explotar esta vulnerabilidad RDP para la ejecución remota de código (RCE) no es fácil y el resultado más común de este esfuerzo es un bloqueo del sistema de destino.
Los investigadores de seguridad que crearon un exploit funcional mantuvieron los detalles privados para retrasar a los atacantes que crean su versión y comprometen los sistemas aún sin parches.
Se desarrollaron dos módulos de exploits privados en junio y julio para las herramientas de prueba de penetración Metasploit y CANVAS.
Ambos fueron difíciles de conseguir ya que el primero era privado y el segundo se entregó a los suscriptores que pagaron al menos $ 32,480.
A nivel empresarial, la tasa de actualización mundial fue del 83% en junio. Sin embargo, esta estadística no contó las máquinas de consumo. Esto sugiere que los delincuentes cibernéticos probablemente están atacando las computadoras de los consumidores.
La vulnerabilidad no afecta a todas las versiones del sistema operativo Windows. El aviso de Microsoft enumera Windows 7, Windows Server 2008 R2 y Windows Server 2008.