Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Эксперты похитили с хакерской торговой площадки учетные данные для 1,3 млн RDP-серверов

23/04/21

hack1-Apr-23-2021-09-11-29-98-AMИсследователи в области безопасности похитили с хакерской торговой площадки Ultimate Anonymity Services (UAS) учетные данные 1,3 млн RDP-серверов.

Протокол удаленного рабочего стола (Remote Desktop Protocol) — решение Microsoft для удаленного доступа к приложениям и рабочему столу устройств под управлением Windows. Из-за широкого использования в корпоративных сетях киберпреступники построили процветающую экономику на продаже украденных учетных данных для RDP-серверов.

Получив доступ к сети, злоумышленник может выполнять вредоносные действия, включая перемещение по сети, кражу данных, установку вредоносных программ на PoS-терминалы для хищения данных с кредитных карт, установку бэкдоров или программ-вымогателей.

UAS представляет собой крупнейшую торговую площадку по продаже учетных данных RDP-серверов, украденных номеров социального страхования и доступа к прокси-серверам SOCKS. UAS вручную выполняет проверку продаваемых учетных данных, предлагает поддержку клиентов и дает советы о том, как сохранить удаленный доступ к скомпрометированному компьютеру.

Торговая площадка не продает доступ к RDP-серверам, расположенным в России или странах СНГ. Специальный скрипт автоматически удаляет все найденные серверы в данных регионах.

С декабря 2018 года группа исследователей безопасности имела секретный доступ к базе данных рынка UAS и в течение трех лет незаметно похищала проданные учетные данные для RDP-серверов. Эксперты получили IP-адреса, логины и пароли для 1 379 609 учетных записей, проданных на UAS с конца 2018 года. Базу данных специалисты передали Виталию Кремезу из ИБ-компании Advanced Intel.

Указанные в базе данных RDP-серверы находятся по всему миру, включая государственные учреждения шестидесяти трех стран, в том числе Бразилии, Индии и США. В базе также есть доступ к RDP-серверам известных компаний, в том числе в сфере здравоохранения.

Как сообщило издание Bleeping Computer, самыми распространенными логинами для авторизации в RDP-серверах оказались «Administrator», «Admin», «User», «test» и «scanner». В пятерку наиболее популярных паролей вошли «123456», «123», «P@ssw0rd», «1234» и «Password1».

Виталий Кремез запустил сервис под названием RDPwned, позволяющий компаниям и администраторам проверить, указаны ли их серверы в базе данных. RDPwned поможет выявить старые случаи взлома, которые так и не были обнаружены.

Темы:Онлайн-торговляУгрозывирусы на продажу
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...