UAS, el mayor mercado de piratas informáticos para credenciales RDP robadas, ha filtrado los nombres de inicio de sesión y las contraseñas de más de 1,3 millones y ha comprometido históricamente los servidores de escritorio remoto de Windows.
Debido a esa filtración masiva, los investigadores de seguridad pueden echar un vistazo a la economía del delito cibernético y pueden usar estos datos para atar cabos sueltos en ataques cibernéticos anteriores.
La firma de ciberseguridad Advanced Intel llamada RDPwned lanzó un nuevo servicio que benefició a los administradores de red, ya que ahora verificarán si sus credenciales RDP se han vendido en el mercado.
¿Por qué los PDR son importantes?
RDP o Remote Desktop Protocol es la solución de acceso remoto de Microsoft que permite a los usuarios acceder a la aplicación y al escritorio de un dispositivo Windows de forma remota.
Debido a su uso frecuente, los delincuentes tenían como objetivo construir una economía próspera vendiendo las credenciales robadas para los servidores RDP. Venden las cuentas de escritorio remoto por $ 3 y típicamente no más de $ 70, más allá de la expectativa de que el acceso a una red corporativa sea costoso.
Acceden a la red y realizan una variedad de acciones maliciosas. Tales acciones incluyen propagarse más a través de la red, robar los datos, instalar el malware Pos para recolectar tarjetas de crédito, instalar puertas traseras e implementar ransomware.
UAS el mayor mercado de credenciales de RDP
UAS o Ultimate Anonymity Services vende credenciales de inicio de sesión de Windows Remote Desktop, números de seguridad robados y acceso a servidores proxy SOCKS.
Destaca como el mercado más grande porque realiza la verificación manual de las credenciales de cuentas RDP vendidas, ofrece soporte al cliente y brinda consejos para retener el acceso remoto al sistema comprometido.
Un investigador de seguridad dice: “El mercado funciona parcialmente como eBay: varios proveedores trabajan con el mercado. Tienen un lugar separado para iniciar sesión y cargar los RDP que piratearon. El sistema los verificará y recopilará información sobre cada uno ( sistema operativo, acceso de administrador? velocidad de Internet, CPU, memoria, etc., etc.), que se agrega a la lista “.
“La interfaz del proveedor proporciona estadísticas en tiempo real para los proveedores (qué se vendió, qué no, qué se vendió pero se solicitó un reembolso, etc.)”.
“También brindan soporte si por alguna razón lo que compraste no funciona. Se toman en serio el soporte al cliente”.
Los actores de amenazas compran las cuentas de RDP robadas y buscan los dispositivos comprometidos en un país, estado, ciudad, código postal, ISP o sistema operativo en particular. Esto les permite encontrar el servidor específico que necesitan.
Monitoreando el mercado de UAS en secreto
Un grupo de investigadores de seguridad tiene acceso secreto a la base de datos del mercado de UAS desde 2018. Han recopilado silenciosamente las credenciales RDP vendidas durante tres años. Recopilaron direcciones IP, nombres de usuario y contraseñas para más de 1379 y 609 cuentas durante el período. Estos datos se han compartido con Vitali kremez de Advanced Intel.
Los servidores RDP son de todo el mundo. Estos incluyen las agencias gubernamentales de más de sesenta y tres países, incluidos Brasil, India y Estados Unidos. Estos también incluyen las empresas de alto perfil, con muchos servidores de la industria de la salud.
Al analizar estos 13 millones de cuentas en la base de datos, lo interesante que se puede sacar son:
- Los servidores RDP vendidos incluyen los cinco nombres de inicio de sesión principales como ‘Administrador’, ‘Admin’, ‘Usuario’, ‘prueba’ y ‘escáner’. Con las cinco contraseñas principales son ‘123456’, ‘123’, ‘P @ ssw0rd’, ‘1234’ y ‘Password1’.
- Los cinco principales países representados en las bases de datos son Estados Unidos, China, Brasil, Alemania, India y Reino Unido.
Compruebe si su RDP está comprometido
RDPwned, un servicio lanzado por Vitali Kremez para ayudar a las empresas y al administrador a verificar si sus servidores están en la lista de la base de datos.
Kremez dijo: “El mercado está vinculado a una serie de infracciones de alto perfil y casos de ransomware en todo el mundo. Se sabe que varios grupos de ransomware compran el acceso inicial en UAS. Este tesoro de datos del espacio del adversario proporciona una lente al ecosistema de la ciberdelincuencia, y confirman que las cosas fáciles, como las contraseñas deficientes y el RDP expuesto a Internet, siguen siendo una de las principales causas de infracciones “.
“RDPwned también ayudará a esclarecer las viejas brechas para las que nunca descubrieron el acceso inicial. Para otros, les dará la oportunidad de resolver el problema de seguridad antes de que se convierta en una brecha”.
Para utilizar este servicio, según kremez, la empresa requiere enviar la información de contacto de un ejecutivo o administrador de la empresa que Advanced Intel examinará. Advanced Intel confirmará si el servidor de la empresa figura en RDPwned, una vez que se verifique la identidad del usuario.