O UAS, o maior mercado de hackers para credenciais RDP roubadas, vazou os nomes de login e as senhas de mais de 1,3 milhão e comprometeu historicamente os servidores Windows Remote Desktop.
Por causa desse vazamento massivo, os pesquisadores de segurança têm um vislumbre da economia do crime cibernético e podem usar esses dados para resolver pontas soltas em ataques cibernéticos anteriores.
A empresa de segurança cibernética Advanced Intel, chamada RDPwned, lançou um novo serviço que beneficiou os administradores de rede, pois agora eles verificarão se suas credenciais RDP foram vendidas no mercado.
Por que os RDPs são importantes?
RDP ou Remote Desktop Protocol é a solução de acesso remoto da Microsoft que permite aos usuários acessar o aplicativo e a área de trabalho de um dispositivo Windows remotamente.
Por causa de seu uso frequente, os criminosos pretendiam construir uma economia próspera vendendo as credenciais roubadas para servidores RDP. Eles vendem as contas de desktops remotos por US $ 3 e normalmente não mais que US $ 70, além da expectativa de que o acesso a uma rede corporativa seja caro.
Eles acessam a rede e executam uma variedade de ações maliciosas. Essas ações incluem se espalhar ainda mais pela rede, roubar os dados, instalar o malware Pos para coletar o cartão de crédito, instalar backdoors e implantar ransomware.
UAS, o maior mercado para credenciais RDP
UAS ou Ultimate Anonymity Services vende credenciais de login da Área de Trabalho Remota do Windows, números de segurança roubados e acesso a servidores proxy SOCKS.
Ele se destaca como o maior mercado porque realiza verificação manual das credenciais de contas RDP vendidas, oferece suporte ao cliente e fornece dicas para manter o acesso remoto ao sistema comprometido.
Um pesquisador de segurança disse: “O mercado funciona parcialmente como o eBay – vários fornecedores trabalham com o mercado. Eles têm um local separado para fazer login e fazer upload dos RDPs que hackearam. O sistema irá então verificá-los e coletar informações sobre cada um ( sistema operacional, acesso de administrador (velocidade de internet, cpu, memória, etc, etc), que é adicionado à lista. “
“A interface do fornecedor fornece estatísticas em tempo real para os fornecedores (o que vendeu, o que não vendeu, o que foi vendido, mas foi solicitado um reembolso, etc.).”
“Eles também fornecem suporte se por algum motivo o que você comprou não funcionar. Eles levam o suporte ao cliente a sério.”
Os agentes da ameaça compram as contas RDP roubadas e procuram os dispositivos comprometidos em um determinado país, estado, cidade, código postal, ISP ou sistema operacional. Isso permite que eles encontrem o servidor específico de que precisam.
Monitorando o mercado UAS em segredo
Um grupo de pesquisadores de segurança tem acesso secreto ao banco de dados do mercado UAS desde 2018. Eles coletaram discretamente as credenciais RDP vendidas por três anos. Eles coletaram endereços IP, nomes de usuário e senhas de mais de 1.379 e 609 contas durante o período. Esses dados foram compartilhados com Vitali Kremez da Advanced Intel.
Os servidores RDP são de todo o mundo. Isso inclui as agências governamentais de mais de sessenta e três países, incluindo Brasil, Índia e Estados Unidos. Isso também inclui as empresas de alto nível, com muitos servidores do setor de saúde.
Ao analisar essas 13 milhões de contas no banco de dados, o interessante que pode ser retirado são:
- Os servidores RDP vendidos incluem os cinco principais nomes de login como ‘Administrador’, ‘Admin’, ‘Usuário’, ‘teste’ e ‘scanner’. Com as cinco principais senhas são ‘123456’, ‘123’, ‘P @ ssw0rd’, ‘1234’ e ‘Senha1’.
- Os cinco principais países representados nas bases de dados são Estados Unidos, China, Brasil, Alemanha, Índia e Reino Unido.
Verifique se o seu RDP está comprometido
RDPwned, um serviço lançado por Vitali Kremez para ajudar empresas e administradores a verificar se seus servidores estão na lista do banco de dados.
Kremez disse: “O mercado está vinculado a uma série de violações de alto perfil e casos de ransomware em todo o mundo. Vários grupos de ransomware são conhecidos por adquirir acesso inicial ao UAS. Este tesouro de dados do espaço adversário fornece uma lente para o ecossistema do cibercrime e confirme que o fruto mais fácil, como senhas de baixa qualidade e RDP exposto à Internet continuam sendo uma das principais causas de violações, “
“O RDPwned também ajudará a esclarecer violações antigas para as quais eles nunca descobriram o acesso inicial. Para outros, isso lhes dará a chance de resolver o problema de segurança antes que se torne uma violação.”
Para usar este serviço, de acordo com Kremez, a empresa exige o envio de informações de contato de um executivo ou administrador da empresa que a Advanced Intel examinará. A Intel avançada confirmará se o servidor da empresa está listado em RDPwned, assim que a identidade do usuário for verificada.
