UAS, le plus grand marché de hackers pour les informations d’identification RDP volées, a divulgué les noms de connexion et les mots de passe de plus de 1,3 million et des serveurs Windows Remote Desktop historiquement compromis.
En raison de cette fuite massive, les chercheurs en sécurité ont un aperçu de l’économie de la cybercriminalité et peuvent utiliser ces données pour résoudre les problèmes des cyber-attaques précédentes.
La société de cybersécurité Advanced Intel appelée RDPwned a lancé un nouveau service qui a profité aux administrateurs réseau car ils vont maintenant vérifier si leurs informations d’identification RDP ont été vendues sur le marché.
Pourquoi les PDR sont-ils importants?
RDP ou Remote Desktop Protocol est la solution d’accès à distance de Microsoft qui permet aux utilisateurs d’accéder à distance à l’application et au bureau d’un appareil Windows.
En raison de son utilisation fréquente, les escrocs visaient à créer une économie florissante en vendant les informations d’identification volées pour les serveurs RDP. Ils vendent les comptes de bureau à distance pour 3 $ et généralement pas plus de 70 $, au-delà de l’attente que l’accès à un réseau d’entreprise coûte cher.
Ils accèdent au réseau et effectuent diverses actions malveillantes. De telles actions incluent la propagation à travers le réseau, le vol des données, l’installation de logiciels malveillants Pos pour récupérer les cartes de crédit, l’installation de portes dérobées et le déploiement de ransomwares.
UAS, le plus grand marché pour les informations d’identification RDP
UAS ou Ultimate Anonymity Services vend les informations de connexion Windows Remote Desktop, les numéros de sécurité volés et l’accès aux serveurs proxy SOCKS.
Il se démarque du plus grand marché car il effectue une vérification manuelle des informations d’identification de compte RDP vendues, offre un support client et fournit des conseils pour conserver l’accès à distance au système compromis.
Un chercheur en sécurité déclare: “Le marché fonctionne en partie comme eBay – un certain nombre de fournisseurs travaillent avec le marché. Ils disposent d’un emplacement séparé pour se connecter et télécharger les RDP qu’ils ont piratés. Le système les vérifiera ensuite, collectera des informations sur chacun d’entre eux ( os, accès administrateur? vitesse Internet, processeur, mémoire, etc.), qui est ajouté à la liste. “
“L’interface fournisseur fournit des statistiques en temps réel pour les fournisseurs (ce qui a été vendu, ce qui n’a pas été vendu, ce qui a été vendu mais un remboursement a été demandé, etc.).”
“Ils fournissent également une assistance si, pour une raison quelconque, ce que vous avez acheté ne fonctionne pas. Ils prennent le support client au sérieux.”
Les acteurs de la menace achètent les comptes RDP volés et recherchent les appareils compromis dans un pays, un état, une ville, un code postal, un FAI ou un système d’exploitation en particulier. Cela leur permet de trouver le serveur spécifique dont ils ont besoin.
Surveiller le marché des UAS en secret
Un groupe de chercheurs en sécurité a un accès secret à la base de données du marché UAS depuis 2018. Ils ont discrètement recueilli les informations d’identification RDP vendues pendant trois ans. Ils ont collecté des adresses IP, des noms d’utilisateur et des mots de passe pour plus de 1379 et 609 comptes au cours de la période. Ces données ont été partagées avec Vitali kremez d’Intel avancé.
Les serveurs RDP viennent de partout dans le monde. Il s’agit notamment des agences gouvernementales de plus de soixante-trois pays, dont le Brésil, l’Inde et les États-Unis. Celles-ci incluent également les entreprises de haut niveau, avec de nombreux serveurs du secteur de la santé.
En analysant ces 13 millions de comptes dans la base de données, les éléments intéressants qui peuvent être retirés sont:
- Les serveurs RDP vendus incluent les cinq principaux noms de connexion comme «Administrateur», «Admin», «Utilisateur», «test» et «scanner». Les cinq premiers mots de passe sont «123456», «123», «P @ ssw0rd», «1234» et «Password1».
- Les cinq principaux pays représentés dans les bases de données sont les États-Unis, la Chine, le Brésil, l’Allemagne, l’Inde et le Royaume-Uni.
Vérifiez si votre RDP est compromis
RDPwned, un service lancé par Vitali Kremez pour aider les entreprises et les administrateurs à vérifier si leurs serveurs sont dans la liste de la base de données.
Kremez a déclaré: «Le marché est lié à un certain nombre de violations de grande envergure et de cas de ransomwares à travers le monde. Un certain nombre de groupes de ransomwares sont connus pour acheter un accès initial sur UAS. cybercriminalité, et confirment que les fruits à portée de main, tels que les mots de passe médiocres et les RDP exposés à Internet restent l’une des principales causes de violations »,
“RDPwned aidera également à éclairer les anciennes brèches pour lesquelles ils n’ont jamais découvert l’accès initial. Pour d’autres, cela leur donnera une chance de résoudre le problème de sécurité avant qu’il ne devienne une brèche.”
Pour utiliser ce service, selon kremez, la société doit soumettre les informations de contact d’un dirigeant ou d’un administrateur de la société qu’Advanced Intel contrôlera. Advanced Intel confirmera si le serveur de l’entreprise est répertorié dans RDPwned, une fois que l’identité de l’utilisateur est vérifiée.
