UAS, der größte Hacker-Marktplatz für gestohlene RDP-Anmeldeinformationen, hat die Anmeldenamen und Kennwörter von über 1,3 Millionen und historisch gefährdeten Windows-Remotedesktopservern durchgesickert.
Aufgrund dieser massiven Leckage erhalten die Sicherheitsforscher einen Einblick in die Cyberkriminalitätswirtschaft und können diese Daten verwenden, um bei früheren Cyberangriffen offene Fragen zu klären.
Das Cyber-Sicherheitsunternehmen Advanced Intel namens RDPwned hat einen neuen Dienst gestartet, von dem die Netzwerkadministratoren profitieren, da sie nun überprüfen, ob ihre RDP-Anmeldeinformationen auf dem Markt verkauft wurden.
Warum sind die RDPs wichtig?
RDP oder Remote Desktop Protocol ist die Remotezugriffslösung von Microsoft, mit der Benutzer remote auf die App und den Desktop eines Windows-Geräts zugreifen können.
Aufgrund seiner häufigen Verwendung zielten Gauner darauf ab, eine florierende Wirtschaft aufzubauen, indem sie die gestohlenen Anmeldeinformationen für RDP-Server verkauften. Sie verkaufen die Remotedesktopkonten für 3 US-Dollar und in der Regel nicht mehr als 70 US-Dollar, über die Erwartung hinaus, dass der Zugriff auf ein Unternehmensnetzwerk teuer ist.
Sie greifen auf das Netzwerk zu und führen eine Vielzahl von böswilligen Aktionen aus. Zu diesen Aktionen gehören die weitere Verbreitung im gesamten Netzwerk, der Diebstahl von Daten, die Installation von Pos-Malware zum Ernten von Kreditkarten, die Installation von Hintertüren und die Bereitstellung von Ransomware.
UAS der größte Marktplatz für RDP-Anmeldeinformationen
UAS oder Ultimate Anonymity Services verkaufen Windows-Remotedesktop-Anmeldeinformationen, gestohlene Sicherheitsnummern und Zugriff auf SOCKS-Proxyserver.
Es ist der größte Marktplatz, da es die manuellen Überprüfungen der verkauften Anmeldeinformationen für RDP-Konten durchführt, Kundensupport bietet und Tipps zum Beibehalten des Fernzugriffs auf das gefährdete System bietet.
Ein Sicherheitsforscher sagt: “Der Markt funktioniert teilweise wie eBay – eine Reihe von Lieferanten arbeiten mit dem Markt zusammen. Sie haben einen separaten Ort, an dem sie sich anmelden und die von ihnen gehackten RDPs hochladen können. Das System überprüft sie dann und sammelt Informationen zu jedem einzelnen ( Betriebssystem, Administratorzugriff? Internetgeschwindigkeit, CPU, Speicher usw. usw.), die der Liste hinzugefügt werden. “
“Die Lieferantenschnittstelle bietet Echtzeitstatistiken für die Lieferanten (was verkauft wurde, was nicht, was verkauft wurde, aber eine Rückerstattung beantragt wurde usw.).”
“Sie bieten auch Support, wenn das, was Sie gekauft haben, aus irgendeinem Grund nicht funktioniert. Sie nehmen den Kundensupport ernst.”
Bedrohungsakteure kaufen die gestohlenen RDP-Konten und suchen nach den gefährdeten Geräten in einem bestimmten Land, Bundesstaat, einer bestimmten Stadt, einer bestimmten Postleitzahl, einem bestimmten ISP oder einem bestimmten Betriebssystem. Auf diese Weise können sie einen bestimmten Server finden, den sie benötigen.
Überwachung des UAS-Marktplatzes im Geheimen
Eine Gruppe von Sicherheitsforschern hat seit 2018 geheimen Zugriff auf die Datenbank des UAS-Marktplatzes. Sie haben die verkauften RDP-Anmeldeinformationen drei Jahre lang stillschweigend gesammelt. Sie sammelten im Berichtszeitraum IP-Adressen, Benutzernamen und Passwörter für über 1.379 und 609 Konten. Diese Daten wurden mit Vitali kremez von Advanced Intel geteilt.
Die RDP-Server sind von überall her. Dazu gehören die Regierungsbehörden von über dreiundsechzig Ländern, darunter Brasilien, Indien und die Vereinigten Staaten. Dazu gehören auch die bekannten Unternehmen mit vielen Servern aus der Gesundheitsbranche.
Bei der Analyse dieser 13 Millionen Konten in der Datenbank können folgende interessante Ergebnisse erzielt werden:
- Die verkauften RDP-Server enthalten die fünf wichtigsten Anmeldenamen wie “Administrator”, “Administrator”, “Benutzer”, “Test” und “Scanner”. Die fünf besten Passwörter sind “123456”, “123”, “P @ ssw0rd”, “1234” und “Passwort1”.
- Die fünf am häufigsten vertretenen Länder in den Datenbanken sind die USA, China, Brasilien, Deutschland, Indien und das Vereinigte Königreich.
Überprüfen Sie, ob Ihr RDP gefährdet ist
RDPwned, ein Dienst, der von Vitali Kremez gestartet wurde, um Unternehmen und Administratoren dabei zu helfen, zu überprüfen, ob ihre Server in der Liste der Datenbank enthalten sind.
Kremez sagte: “Der Markt ist mit einer Reihe von hochkarätigen Sicherheitsverletzungen und Ransomware-Fällen auf der ganzen Welt verbunden. Es ist bekannt, dass eine Reihe von Ransomware-Gruppen den ersten Zugriff auf UAS erwerben Cybercrime-Ökosystem und bestätigen, dass niedrig hängende Früchte wie schlechte Passwörter und im Internet exponiertes EPLR eine der Hauptursachen für Verstöße bleiben. “
“RDPwned wird auch dazu beitragen, alte Sicherheitsverletzungen aufzudecken, für die sie nie den ersten Zugriff herausgefunden haben. Für andere gibt es ihnen die Möglichkeit, das Sicherheitsproblem zu lösen, bevor es zu einer Sicherheitsverletzung wird.”
Um diesen Service gemäß kremez nutzen zu können, muss das Unternehmen Kontaktinformationen von einem leitenden Angestellten oder Administrator des Unternehmens übermitteln, den Advanced Intel überprüfen wird. Advanced Intel bestätigt, ob der Server des Unternehmens in RDPwned aufgeführt ist, sobald die Identität des Benutzers überprüft wurde.
