redeuropea

Se descubre una botnet que ataca servidores con protocolo Microsoft Remote Desktop (RDP).

FireEye notifica el descubrimiento, una botnet que afecta a terminales de punto de venta.

El objetivo de esta botnet, como en la mayoría de ocasiones, es el robo de credenciales bancarias.

El ataque se efectúa por fuerza bruta y afecta a los servidores Microsoft Remote Desktop Protocol (RDP), con objeto de localizar terminales de venta y robar información bancaria.

En las pruebas y con el fin de comprender las intenciones de los atacantes, configuraron un servidor Windows 2008 R2 con el software de punto de venta, imitaron el tráfico de los equipos infectados y pusieron documentos con datos bancarios falsos. Sólo tuvieron que esperar a que se conectaran.

Los atacantes abrieron el documento y después de cinco accesos formatearon la unidad, intentando así eliminar los rastros.

Se sabe que hay una campaña activa desde al menos, febrero de 2014.

Según estadísticas de la propia FireEye, los cibercriminales controlaron al menos 5622 equipos en 119 paises (en su última exploración reciente aún quedaban 179).

Si bien no existe información suficiente para determinar la atribución, manejan datos que indican que el origen estaría en Europa del Este. Y llegan a esta conclusión por el idioma que se ha empleado en los logs e interfaces observados.

Han detectado centros de comando y control en Rusia, Irán y Alemania.

En resumen, los sistemas de punto de venta siguen siendo un objetivo muy goloso para los cibercriminales.

Fuente