UAS, il più grande mercato di hacker per credenziali RDP rubate, ha fatto trapelare i nomi di accesso e le password di oltre 1,3 milioni di server Windows Remote Desktop e storicamente compromessi.
A causa di questa massiccia perdita, i ricercatori della sicurezza danno un’occhiata all’economia del crimine informatico e possono utilizzare questi dati per risolvere le questioni in sospeso nei precedenti attacchi informatici.
La società di sicurezza informatica Advanced Intel chiamata RDPwned ha lanciato un nuovo servizio a vantaggio degli amministratori di rete in quanto ora verificheranno se le loro credenziali RDP sono state vendute sul mercato.
Perché i PSR sono importanti?
RDP o Remote Desktop Protocol è la soluzione di accesso remoto di Microsoft che consente agli utenti di accedere all’app e al desktop di un dispositivo Windows da remoto.
A causa del suo uso frequente, i criminali miravano a costruire un’economia fiorente vendendo le credenziali rubate per i server RDP. Vendono gli account desktop remoto per $ 3 e in genere non più di $ 70, oltre l’aspettativa che l’accesso a una rete aziendale sia costoso.
Accedono alla rete ed eseguono una serie di azioni dannose. Tali azioni includono la diffusione ulteriore in tutta la rete, il furto di dati, l’installazione di malware Pos per raccogliere carte di credito, l’installazione di backdoor e la distribuzione di ransomware.
UAS il più grande mercato per le credenziali RDP
UAS o Ultimate Anonymity Services vende credenziali di accesso al desktop remoto di Windows, numeri di sicurezza rubati e accesso ai server proxy SOCKS.
Si distingue come il più grande mercato perché esegue la verifica manuale delle credenziali dell’account RDP venduto, offre assistenza ai clienti e fornisce suggerimenti per mantenere l’accesso remoto al sistema compromesso.
Un ricercatore di sicurezza afferma: “Il mercato funziona in parte come eBay: un certo numero di fornitori lavora con il mercato. Hanno un posto separato per accedere e caricare gli RDP che hanno violato. Il sistema li verificherà, raccoglierà informazioni su ciascuno ( os, accesso amministratore? velocità Internet, CPU, memoria, ecc. ecc.), che viene aggiunto all’elenco. “
“L’interfaccia del fornitore fornisce statistiche in tempo reale per i fornitori (cosa ha venduto, cosa no, cosa è stato venduto ma è stato chiesto un rimborso, ecc.)”.
“Forniscono anche supporto se per qualche motivo ciò che hai acquistato non funziona. Prendono sul serio l’assistenza clienti”.
Gli autori delle minacce acquistano gli account RDP rubati e cercano i dispositivi compromessi in un determinato paese, stato, città, codice postale, ISP o sistema operativo. Ciò consente loro di trovare il server specifico di cui hanno bisogno.
Monitoraggio del mercato UAS in segreto
Un gruppo di ricercatori di sicurezza ha accesso segreto al database del mercato UAS dal 2018. Hanno raccolto silenziosamente le credenziali RDP vendute per tre anni. Hanno raccolto indirizzi IP, nomi utente e password per oltre 1.379 e 609 account durante il periodo. Questi dati sono stati condivisi con Vitali kremez di Advanced Intel.
I server RDP provengono da tutto il mondo. Questi includono le agenzie governative di oltre sessantatré paesi, tra cui Brasile, India e Stati Uniti. Questi includono anche le aziende di alto profilo, con molti server del settore sanitario.
Dopo aver analizzato questi 13 milioni di account nel database, le cose interessanti che possono essere estratte sono:
- I server RDP venduti includono i primi cinque nomi di accesso come “Amministratore”, “Amministratore”, “Utente”, “test” e “scanner”. Le prime cinque password sono “123456”, “123”, “P @ ssw0rd”, “1234” e “Password1”.
- I primi cinque paesi rappresentati nei database sono Stati Uniti, Cina, Brasile, Germania, India e Regno Unito.
Controlla se il tuo RDP è compromesso
RDPwned, un servizio lanciato da Vitali Kremez per aiutare le aziende e gli amministratori a verificare se i loro server sono nella lista del database.
Kremez ha dichiarato: “Il mercato è legato a una serie di violazioni di alto profilo e casi di ransomware in tutto il mondo. È noto che numerosi gruppi di ransomware acquistano l’accesso iniziale su UAS. Questo tesoro di dati sullo spazio avversario fornisce una lente nel l’ecosistema del crimine informatico e confermano che i frutti a bassa impiccagione, come password scadenti e RDP esposto a Internet rimangono una delle principali cause di violazioni “,
“RDPwned aiuterà anche a chiarire vecchie violazioni per le quali non hanno mai individuato l’accesso iniziale. Per altri, darà loro la possibilità di risolvere il problema di sicurezza prima che diventi una violazione”.
Per utilizzare questo servizio, come da kremez, l’azienda richiede di inviare le informazioni di contatto da un dirigente o amministratore della società che Advanced Intel esaminerà. Intel avanzata confermerà se il server dell’azienda è elencato in RDPwned, una volta verificata l’identità dell’utente.