UAS, der gr\u00f6\u00dfte Hacker-Marktplatz f\u00fcr gestohlene RDP-Anmeldeinformationen, hat die Anmeldenamen und Kennw\u00f6rter von \u00fcber 1,3 Millionen und historisch gef\u00e4hrdeten Windows-Remotedesktopservern durchgesickert.<\/p>\n
Aufgrund dieser massiven Leckage erhalten die Sicherheitsforscher einen Einblick in die Cyberkriminalit\u00e4tswirtschaft und k\u00f6nnen diese Daten verwenden, um bei fr\u00fcheren Cyberangriffen offene Fragen zu kl\u00e4ren.<\/p>\n
Das Cyber-Sicherheitsunternehmen Advanced Intel namens RDPwned hat einen neuen Dienst gestartet, von dem die Netzwerkadministratoren profitieren, da sie nun \u00fcberpr\u00fcfen, ob ihre RDP-Anmeldeinformationen auf dem Markt verkauft wurden.<\/p>\n
RDP oder Remote Desktop Protocol ist die Remotezugriffsl\u00f6sung von Microsoft, mit der Benutzer remote auf die App und den Desktop eines Windows-Ger\u00e4ts zugreifen k\u00f6nnen.<\/p>\n
Aufgrund seiner h\u00e4ufigen Verwendung zielten Gauner darauf ab, eine florierende Wirtschaft aufzubauen, indem sie die gestohlenen Anmeldeinformationen f\u00fcr RDP-Server verkauften. Sie verkaufen die Remotedesktopkonten f\u00fcr 3 US-Dollar und in der Regel nicht mehr als 70 US-Dollar, \u00fcber die Erwartung hinaus, dass der Zugriff auf ein Unternehmensnetzwerk teuer ist.<\/p>\n
Sie greifen auf das Netzwerk zu und f\u00fchren eine Vielzahl von b\u00f6swilligen Aktionen aus. Zu diesen Aktionen geh\u00f6ren die weitere Verbreitung im gesamten Netzwerk, der Diebstahl von Daten, die Installation von Pos-Malware zum Ernten von Kreditkarten, die Installation von Hintert\u00fcren und die Bereitstellung von Ransomware.<\/p>\n
UAS oder Ultimate Anonymity Services verkaufen Windows-Remotedesktop-Anmeldeinformationen, gestohlene Sicherheitsnummern und Zugriff auf SOCKS-Proxyserver.<\/p>\n
Es ist der gr\u00f6\u00dfte Marktplatz, da es die manuellen \u00dcberpr\u00fcfungen der verkauften Anmeldeinformationen f\u00fcr RDP-Konten durchf\u00fchrt, Kundensupport bietet und Tipps zum Beibehalten des Fernzugriffs auf das gef\u00e4hrdete System bietet.<\/p>\n
Ein Sicherheitsforscher sagt: “Der Markt funktioniert teilweise wie eBay – eine Reihe von Lieferanten arbeiten mit dem Markt zusammen. Sie haben einen separaten Ort, an dem sie sich anmelden und die von ihnen gehackten RDPs hochladen k\u00f6nnen. Das System \u00fcberpr\u00fcft sie dann und sammelt Informationen zu jedem einzelnen ( Betriebssystem, Administratorzugriff? Internetgeschwindigkeit, CPU, Speicher usw. usw.), die der Liste hinzugef\u00fcgt werden. “<\/p>\n
“Die Lieferantenschnittstelle bietet Echtzeitstatistiken f\u00fcr die Lieferanten (was verkauft wurde, was nicht, was verkauft wurde, aber eine R\u00fcckerstattung beantragt wurde usw.).”<\/p>\n
“Sie bieten auch Support, wenn das, was Sie gekauft haben, aus irgendeinem Grund nicht funktioniert. Sie nehmen den Kundensupport ernst.”<\/p>\n
Bedrohungsakteure kaufen die gestohlenen RDP-Konten und suchen nach den gef\u00e4hrdeten Ger\u00e4ten in einem bestimmten Land, Bundesstaat, einer bestimmten Stadt, einer bestimmten Postleitzahl, einem bestimmten ISP oder einem bestimmten Betriebssystem. Auf diese Weise k\u00f6nnen sie einen bestimmten Server finden, den sie ben\u00f6tigen.<\/p>\n
Eine Gruppe von Sicherheitsforschern hat seit 2018 geheimen Zugriff auf die Datenbank des UAS-Marktplatzes. Sie haben die verkauften RDP-Anmeldeinformationen drei Jahre lang stillschweigend gesammelt. Sie sammelten im Berichtszeitraum IP-Adressen, Benutzernamen und Passw\u00f6rter f\u00fcr \u00fcber 1.379 und 609 Konten. Diese Daten wurden mit Vitali kremez von Advanced Intel geteilt.<\/p>\n
Die RDP-Server sind von \u00fcberall her. Dazu geh\u00f6ren die Regierungsbeh\u00f6rden von \u00fcber dreiundsechzig L\u00e4ndern, darunter Brasilien, Indien und die Vereinigten Staaten. Dazu geh\u00f6ren auch die bekannten Unternehmen mit vielen Servern aus der Gesundheitsbranche.<\/p>\n
Bei der Analyse dieser 13 Millionen Konten in der Datenbank k\u00f6nnen folgende interessante Ergebnisse erzielt werden:<\/p>\n
RDPwned, ein Dienst, der von Vitali Kremez gestartet wurde, um Unternehmen und Administratoren dabei zu helfen, zu \u00fcberpr\u00fcfen, ob ihre Server in der Liste der Datenbank enthalten sind.<\/p>\n
Kremez sagte: “Der Markt ist mit einer Reihe von hochkar\u00e4tigen Sicherheitsverletzungen und Ransomware-F\u00e4llen auf der ganzen Welt verbunden. Es ist bekannt, dass eine Reihe von Ransomware-Gruppen den ersten Zugriff auf UAS erwerben Cybercrime-\u00d6kosystem und best\u00e4tigen, dass niedrig h\u00e4ngende Fr\u00fcchte wie schlechte Passw\u00f6rter und im Internet exponiertes EPLR eine der Hauptursachen f\u00fcr Verst\u00f6\u00dfe bleiben. “<\/p>\n
“RDPwned wird auch dazu beitragen, alte Sicherheitsverletzungen aufzudecken, f\u00fcr die sie nie den ersten Zugriff herausgefunden haben. F\u00fcr andere gibt es ihnen die M\u00f6glichkeit, das Sicherheitsproblem zu l\u00f6sen, bevor es zu einer Sicherheitsverletzung wird.”<\/p>\n
Um diesen Service gem\u00e4\u00df kremez nutzen zu k\u00f6nnen, muss das Unternehmen Kontaktinformationen von einem leitenden Angestellten oder Administrator des Unternehmens \u00fcbermitteln, den Advanced Intel \u00fcberpr\u00fcfen wird. Advanced Intel best\u00e4tigt, ob der Server des Unternehmens in RDPwned aufgef\u00fchrt ist, sobald die Identit\u00e4t des Benutzers \u00fcberpr\u00fcft wurde.<\/p>\n","protected":false},"excerpt":{"rendered":"
UAS, der gr\u00f6\u00dfte Hacker-Marktplatz f\u00fcr gestohlene RDP-Anmeldeinformationen, hat die Anmeldenamen und Kennw\u00f6rter von \u00fcber 1,3 Millionen und historisch gef\u00e4hrdeten Windows-Remotedesktopservern durchgesickert. Aufgrund dieser massiven Leckage erhalten die Sicherheitsforscher einen Einblick … <\/p>\n","protected":false},"author":2,"featured_media":1237,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-1235","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"_links":{"self":[{"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/posts\/1235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/comments?post=1235"}],"version-history":[{"count":0,"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/posts\/1235\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/media\/1237"}],"wp:attachment":[{"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/media?parent=1235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/categories?post=1235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pctransformation.com\/de\/wp-json\/wp\/v2\/tags?post=1235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}