Cuando Microsoft reveló En mayo, millones de dispositivos con Windows tenían una falla grave conocida como BlueKeep, que podía permitir que un gusano automatizado propagara malware de una computadora a otra. Como era de esperar, finalmente llegó una campaña de BlueKeep. Pero hasta ahora no ha llegado al peor de los casos.
Los investigadores de seguridad han detectado evidencia de que sus llamados honeypots (máquinas cebo diseñadas para ayudar a detectar y analizar brotes de malware) están siendo comprometidos en masa utilizando la vulnerabilidad BlueKeep. El error del protocolo de escritorio remoto de Microsoft permite al atacante lograr la ejecución remota completa del código en máquinas sin parches; Si bien anteriormente solo se explotaba en pruebas de concepto, tiene consecuencias potencialmente devastadoras. Otro gusano que se dirigió a las máquinas con Windows en 2017, el ataque del ransomware NotPetya, causó más de $10 mil millones en daños en todo el mundo.
Pero hasta ahora, el pirateo generalizado de BlueKeep simplemente instala un minero de criptomonedas, aprovechando el poder de procesamiento de la víctima para generar criptomonedas. Y en lugar de un gusano saltando sin supervisión de una computadora a otra, estos atacantes parecen haber escaneado Internet en busca de máquinas vulnerables para explotar. Esto hace que esta ola actual sea poco probable que resulte en un brote.
«BlueKeep ha existido por un tiempo. Pero esta es la primera vez que lo veo usado a gran escala», dice Marcus Hutchins, investigador de malware para la firma de seguridad Kryptos Logic, quien fue uno de los primeros en construir un sistema funcional. prueba de concepto para la vulnerabilidad BlueKeep. «No están buscando objetivos. Están escaneando Internet y difundiendo exploits».
Hutchins dice que fue informado por primera vez del brote de piratería de BlueKeep por su colega investigador de seguridad Kevin Beaumont, quien vio cómo sus máquinas trampa colapsaban en los últimos días. Dado que estos dispositivos solo exponían el puerto 3389 a Internet, el puerto utilizado por RDP, rápidamente sospechó de BlueKeep. Beaumont luego compartió un «crashdump» de datos forenses de estas máquinas rotas con Hutchins, quien confirmó que BlueKeep fue la causa y que los piratas informáticos tenían la intención de instalar un minero de criptomonedas en las máquinas de las víctimas, como se detalla en esta publicación de blog de Kryptos. Lógica. Hutchins dice que aún no ha determinado qué moneda están tratando de minar, y señala que el hecho de que las máquinas objetivo se bloqueen indica que el exploit puede no ser confiable. Los autores del malware parecen estar utilizando una versión de la técnica de piratería BlueKeep incluida en el marco de prueba de penetración y piratería Metasploit de código abierto, dijo Hutchins, que se hizo público en septiembre.
Tampoco está claro cuántos dispositivos se han visto afectados, aunque el brote actual de BlueKeep parece estar muy lejos de la pandemia de RDP que muchos temían. «Vi un pico, pero no el nivel que esperaría de un gusano», dice Jake Williams, fundador de la firma de seguridad Rendition Infosec, que monitorea las redes de sus clientes en busca de signos de explotación. . «Aún no ha alcanzado la masa crítica».
De hecho, argumenta Williams, la ausencia de una ola más seria de ataques a BlueKeep hasta el momento puede indicar el éxito de la respuesta de Microsoft a su error BlueKeep: un inesperado final feliz. “Con cada mes que pasa sin que aparezca un gusano, más personas se infectan y la población vulnerable disminuye”, dice Williams. «Dado que el módulo Metasploit ha estado disponible desde hace unos meses, el hecho de que nadie lo haya desparasitado todavía parece indicar que se ha realizado un análisis de costo-beneficio y que no hay una gran ventaja para que se convierta en un arma.»