UAS, le plus grand march\u00e9 de hackers pour les informations d’identification RDP vol\u00e9es, a divulgu\u00e9 les noms de connexion et les mots de passe de plus de 1,3 million et des serveurs Windows Remote Desktop historiquement compromis.<\/p>\n
En raison de cette fuite massive, les chercheurs en s\u00e9curit\u00e9 ont un aper\u00e7u de l’\u00e9conomie de la cybercriminalit\u00e9 et peuvent utiliser ces donn\u00e9es pour r\u00e9soudre les probl\u00e8mes des cyber-attaques pr\u00e9c\u00e9dentes.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Advanced Intel appel\u00e9e RDPwned a lanc\u00e9 un nouveau service qui a profit\u00e9 aux administrateurs r\u00e9seau car ils vont maintenant v\u00e9rifier si leurs informations d’identification RDP ont \u00e9t\u00e9 vendues sur le march\u00e9.<\/p>\n
RDP ou Remote Desktop Protocol est la solution d’acc\u00e8s \u00e0 distance de Microsoft qui permet aux utilisateurs d’acc\u00e9der \u00e0 distance \u00e0 l’application et au bureau d’un appareil Windows.<\/p>\n
En raison de son utilisation fr\u00e9quente, les escrocs visaient \u00e0 cr\u00e9er une \u00e9conomie florissante en vendant les informations d’identification vol\u00e9es pour les serveurs RDP. Ils vendent les comptes de bureau \u00e0 distance pour 3 $ et g\u00e9n\u00e9ralement pas plus de 70 $, au-del\u00e0 de l’attente que l’acc\u00e8s \u00e0 un r\u00e9seau d’entreprise co\u00fbte cher.<\/p>\n
Ils acc\u00e8dent au r\u00e9seau et effectuent diverses actions malveillantes. De telles actions incluent la propagation \u00e0 travers le r\u00e9seau, le vol des donn\u00e9es, l’installation de logiciels malveillants Pos pour r\u00e9cup\u00e9rer les cartes de cr\u00e9dit, l’installation de portes d\u00e9rob\u00e9es et le d\u00e9ploiement de ransomwares.<\/p>\n
UAS ou Ultimate Anonymity Services vend les informations de connexion Windows Remote Desktop, les num\u00e9ros de s\u00e9curit\u00e9 vol\u00e9s et l’acc\u00e8s aux serveurs proxy SOCKS.<\/p>\n
Il se d\u00e9marque du plus grand march\u00e9 car il effectue une v\u00e9rification manuelle des informations d’identification de compte RDP vendues, offre un support client et fournit des conseils pour conserver l’acc\u00e8s \u00e0 distance au syst\u00e8me compromis.<\/p>\n
Un chercheur en s\u00e9curit\u00e9 d\u00e9clare: “Le march\u00e9 fonctionne en partie comme eBay – un certain nombre de fournisseurs travaillent avec le march\u00e9. Ils disposent d’un emplacement s\u00e9par\u00e9 pour se connecter et t\u00e9l\u00e9charger les RDP qu’ils ont pirat\u00e9s. Le syst\u00e8me les v\u00e9rifiera ensuite, collectera des informations sur chacun d’entre eux ( os, acc\u00e8s administrateur? vitesse Internet, processeur, m\u00e9moire, etc.), qui est ajout\u00e9 \u00e0 la liste. “<\/p>\n
“L’interface fournisseur fournit des statistiques en temps r\u00e9el pour les fournisseurs (ce qui a \u00e9t\u00e9 vendu, ce qui n’a pas \u00e9t\u00e9 vendu, ce qui a \u00e9t\u00e9 vendu mais un remboursement a \u00e9t\u00e9 demand\u00e9, etc.).”<\/p>\n
“Ils fournissent \u00e9galement une assistance si, pour une raison quelconque, ce que vous avez achet\u00e9 ne fonctionne pas. Ils prennent le support client au s\u00e9rieux.”<\/p>\n
Les acteurs de la menace ach\u00e8tent les comptes RDP vol\u00e9s et recherchent les appareils compromis dans un pays, un \u00e9tat, une ville, un code postal, un FAI ou un syst\u00e8me d’exploitation en particulier. Cela leur permet de trouver le serveur sp\u00e9cifique dont ils ont besoin.<\/p>\n
Un groupe de chercheurs en s\u00e9curit\u00e9 a un acc\u00e8s secret \u00e0 la base de donn\u00e9es du march\u00e9 UAS depuis 2018. Ils ont discr\u00e8tement recueilli les informations d’identification RDP vendues pendant trois ans. Ils ont collect\u00e9 des adresses IP, des noms d’utilisateur et des mots de passe pour plus de 1379 et 609 comptes au cours de la p\u00e9riode. Ces donn\u00e9es ont \u00e9t\u00e9 partag\u00e9es avec Vitali kremez d’Intel avanc\u00e9.<\/p>\n
Les serveurs RDP viennent de partout dans le monde. Il s’agit notamment des agences gouvernementales de plus de soixante-trois pays, dont le Br\u00e9sil, l’Inde et les \u00c9tats-Unis. Celles-ci incluent \u00e9galement les entreprises de haut niveau, avec de nombreux serveurs du secteur de la sant\u00e9.<\/p>\n
En analysant ces 13 millions de comptes dans la base de donn\u00e9es, les \u00e9l\u00e9ments int\u00e9ressants qui peuvent \u00eatre retir\u00e9s sont:<\/p>\n
RDPwned, un service lanc\u00e9 par Vitali Kremez pour aider les entreprises et les administrateurs \u00e0 v\u00e9rifier si leurs serveurs sont dans la liste de la base de donn\u00e9es.<\/p>\n
Kremez a d\u00e9clar\u00e9: \u00abLe march\u00e9 est li\u00e9 \u00e0 un certain nombre de violations de grande envergure et de cas de ransomwares \u00e0 travers le monde. Un certain nombre de groupes de ransomwares sont connus pour acheter un acc\u00e8s initial sur UAS. cybercriminalit\u00e9, et confirment que les fruits \u00e0 port\u00e9e de main, tels que les mots de passe m\u00e9diocres et les RDP expos\u00e9s \u00e0 Internet restent l\u2019une des principales causes de violations \u00bb,<\/p>\n
“RDPwned aidera \u00e9galement \u00e0 \u00e9clairer les anciennes br\u00e8ches pour lesquelles ils n’ont jamais d\u00e9couvert l’acc\u00e8s initial. Pour d’autres, cela leur donnera une chance de r\u00e9soudre le probl\u00e8me de s\u00e9curit\u00e9 avant qu’il ne devienne une br\u00e8che.”<\/p>\n
Pour utiliser ce service, selon kremez, la soci\u00e9t\u00e9 doit soumettre les informations de contact d’un dirigeant ou d’un administrateur de la soci\u00e9t\u00e9 qu’Advanced Intel contr\u00f4lera. Advanced Intel confirmera si le serveur de l’entreprise est r\u00e9pertori\u00e9 dans RDPwned, une fois que l’identit\u00e9 de l’utilisateur est v\u00e9rifi\u00e9e.<\/p>\n","protected":false},"excerpt":{"rendered":"
UAS, le plus grand march\u00e9 de hackers pour les informations d’identification RDP vol\u00e9es, a divulgu\u00e9 les noms de connexion et les mots de passe de plus de 1,3 million et … <\/p>\n","protected":false},"author":2,"featured_media":1200,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-1198","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"_links":{"self":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/posts\/1198","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/comments?post=1198"}],"version-history":[{"count":0,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/posts\/1198\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/media\/1200"}],"wp:attachment":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/media?parent=1198"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/categories?post=1198"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/tags?post=1198"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}