ハッカー市場から収集された130万のWindowsRDPサーバーのログインデータ

ハッカー市場から収集された130万のWindowsRDPサーバーのログインデータ

盗まれたRDPクレデンシャルの最大のハッカー市場であるUASは、130万を超えるログイン名とパスワードを漏えいし、歴史的にWindowsリモートデスクトップサーバーを危険にさらしました。

その大規模な漏洩のために、セキュリティ研究者はサイバー犯罪経済を垣間見ることができ、これらのデータを使用して、以前のサイバー攻撃のルーズエンドを結び付けることができます。

RDPwnedと呼ばれるサイバーセキュリティ会社のAdvancedIntelは、RDPクレデンシャルが市場で販売されているかどうかを確認するため、ネットワーク管理者に役立つ新しいサービスを開始しました。

なぜRDPが重要なのですか?

RDPまたはリモートデスクトッププロトコルは、Microsoftのリモートアクセスソリューションであり、ユーザーはアプリとWindowデバイスのデスクトップにリモートでアクセスできます。

詐欺師は頻繁に使用するため、盗まれたRDPサーバーの資格情報を販売することで、繁栄する経済を構築することを目指しました。彼らは、企業ネットワークへのアクセスに費用がかかるという予想を超えて、リモートデスクトップアカウントを3ドル、通常は70ドル以下で販売しています。

彼らはネットワークにアクセスし、さまざまな悪意のあるアクションを実行します。このようなアクションには、ネットワーク全体への拡散、データの盗用、クレジットカードを収集するためのPosマルウェアのインストール、バックドアのインストール、ランサムウェアの展開が含まれます。

UASはRDPクレデンシャルの最大のマーケットプレイスです

UASまたはUltimateAnonymity Servicesは、Windowsリモートデスクトップのログイン資格情報、盗まれたセキュリティ番号、およびSOCKSプロキシサーバーへのアクセスを販売しています。

販売されたRDPアカウントの資格情報を手動で検証し、カスタマーサポートを提供し、侵害されたシステムへのリモートアクセスを維持するためのヒントを提供するため、最大の市場として際立っています。

セキュリティ研究者は、「市場は部分的にeBayのように機能します。多くのサプライヤーが市場と協力しています。彼らは、ハッキングしたRDPにログインしてアップロードするための別々の場所を持っています。システムはそれらを検証し、それぞれに関する情報を収集します( os、管理者アクセス?インターネット速度、cpu、メモリなど)、リストに追加されます。」

「サプライヤーインターフェースは、サプライヤーにリアルタイムの統計を提供します(何が売れたか、何が売れなかったか、何が売られたが払い戻しが求められたかなど)。」

「彼らはまた、あなたが購入したものが何らかの理由で機能しない場合にサポートを提供します。彼らはカスタマーサポートを真剣に受け止めます。」

攻撃者は、盗まれたRDPアカウントを購入し、特定の国、州、都市、郵便番号、ISP、またはオペレーティングシステムで侵害されたデバイスを検索します。これにより、必要な特定のサーバーを見つけることができます。

UASマーケットプレイスを秘密裏に監視する

セキュリティ研究者のグループは、2018年からUASマーケットプレイスのデータベースに秘密裏にアクセスできます。彼らは、販売されたRDPクレデンシャルを3年間静かに収集してきました。彼らは、期間中に1,379および609を超えるアカウントのIPアドレス、ユーザー名、およびパスワードを収集しました。これらのデータは、AdvancedIntelのVitalikremezと共有されています。

RDPサーバーは世界中から集まっています。これらには、ブラジル、インド、米国を含む63か国以上の政府機関が含まれます。これらには、ヘルスケア業界からの多くのサーバーを備えた有名企業も含まれます。

データベース内のこれらの1300万のアカウントを分析すると、引き出すことができる興味深いことは次のとおりです。

  • 販売されているRDPサーバーには、「管理者」、「管理者」、「ユーザー」、「テスト」、「スキャナー」の上位5つのログイン名が含まれています。上位5つのパスワードは、「123456」、「123」、「P @ ssw0rd」、「1234」、および「Password1」です。
  • データベースで表されている上位5か国は、米国、中国、ブラジル、ドイツ、インド、および英国です。

RDPが危険にさらされていないか確認してください

RDPwnedは、Vitali Kremezが立ち上げたサービスで、企業や管理者がサーバーがデータベースのリストにあるかどうかを確認するのに役立ちます。

Kremez氏は、「市場は、世界中の多くの注目を集める侵害やランサムウェアの事例に結びついています。多くのランサムウェアグループが、UASへの初期アクセスを購入することが知られています。この敵空間データの宝庫は、サイバー犯罪のエコシステムであり、パスワードの不備やインターネットに公開されたRDPなど、手に負えない成果が依然として侵害の主な原因の1つであることを確認します。」

「RDPwnedは、最初のアクセスを把握できなかった古い侵害を明らかにするのにも役立ちます。他の人にとっては、侵害になる前にセキュリティ問題を解決する機会を与えてくれます。」

このサービスを使用するには、kremezによると、会社はAdvancedIntelが精査する会社の幹部または管理者からの連絡先情報を提出する必要があります。 Advanced Intelは、ユーザーのIDが確認された後、会社のサーバーがRDPwnedにリストされているかどうかを確認します。

Related Posts

GoogleTViOSアプリの映画とテレビのセクションが機能しない

このPCに投影されているWindows10を修正する方法がグレー表示されています[手順]

Windows11の設定アプリとWindows10の設定の違いは何ですか?

Windows11の設定アプリとWindows10の設定の違いは何ですか?