McAfee Gruppo di ricerca avanzata sulle minacce recentemente scoperto che gli hacker hanno accesso a molte organizzazioni che hanno credenziali deboli durante l'utilizzo Il componente Desktop remoto di Microsoft nei sistemi basati su Windows. L’accesso a queste organizzazioni – che si tratti di un aeroporto, di un ospedale o del governo degli Stati Uniti – può essere acquistato per pochi soldi attraverso negozi specifici sul dark web.
Il Remote Desktop Protocol (RDP) di Microsoft consente essenzialmente di connettere e utilizzare un PC basato su Windows da una posizione remota. Quando tali credenziali di accesso sono deboli, gli hacker possono utilizzare attacchi di forza bruta per ottenere nome utente e password per ciascuna connessione. McAfee ha trovato connessioni in vendita in vari negozi RDP sul dark web, che vanno da appena 15 a un'incredibile cifra di 40.000 connessioni.
Video consigliati
"I sistemi pubblicizzati andavano da Windows XP a Windows 10", afferma John Fokker, responsabile delle indagini informatiche di McAfee. “Windows 2008 e 2012 Server sono stati i sistemi più diffusi, con circa 11.000 e 6.500 rispettivamente in vendita. I prezzi variavano da circa 3 dollari per una configurazione semplice a 19 dollari per un sistema a larghezza di banda elevata che offriva accesso con diritti di amministratore.
Nell'elenco di dispositivi, servizi e reti nel menu ci sono numerosi sistemi governativi in vendita in tutto il mondo, compresi quelli collegati agli Stati Uniti. Il team ha trovato collegamenti con una varietà di istituzioni sanitarie, tra cui negozi di attrezzature mediche, ospedali e altro ancora. Hanno persino trovato l’accesso ai sistemi di sicurezza e di automazione degli edifici in un importante aeroporto internazionale venduti per soli 10 dollari.
Il problema non riguarda solo i desktop, computer portatilie server. Nel menu sono presenti anche dispositivi Internet of Things basati su Windows Embedded, come sistemi POS, chioschi, parchimetri, PC thin client e altro ancora. Molti vengono trascurati e non aggiornati, il che li rende un ingresso silenzioso per gli hacker.
I venditori del mercato nero ottengono credenziali RDP scansionando Internet alla ricerca di sistemi che accettano connessioni RDP e quindi utilizza strumenti come Hydra, NLBrute e RDP Forcer per attaccare l'accesso utilizzando credenziali e password rubate dizionari. Una volta effettuato l’accesso al PC remoto, non fanno altro che mettere in vendita i dettagli della connessione.
Dopo aver pagato per la connessione, gli hacker possono mettere in ginocchio un’azienda. Ad esempio, un hacker potrebbe pagare solo 10 dollari per una connessione, infiltrarsi nella rete per crittografare i file di ogni PC e richiedere un riscatto di 40.000 dollari. I PC compromessi possono essere utilizzati anche per diffondere spam, indirizzare erroneamente attività illegali ed estrarre criptovalute. L'accesso è utile anche per rubare informazioni personali e segreti commerciali aziendali.
"Abbiamo trovato una macchina Windows Server 2008 R2 Standard appena pubblicata su UAS Shop", scrive Fokker. “Secondo i dettagli del negozio, apparteneva a una città degli Stati Uniti e per soli 10 dollari potevamo ottenere i diritti di amministratore su questo sistema. UAS Shop nasconde gli ultimi due ottetti degli indirizzi IP dei sistemi che offre in vendita e addebita una piccola tariffa per l’indirizzo completo.”
La soluzione, secondo McAfee, è che le organizzazioni devono fare un lavoro migliore nel controllare tutte le loro “porte e finestre” virtuali in modo che gli hacker non possano intrufolarsi. L’accesso remoto dovrebbe essere sicuro e non facilmente sfruttabile.
Raccomandazioni degli editori
- Gli hacker hanno rubato 1,5 milioni di dollari utilizzando i dati delle carte di credito acquistati sul dark web
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
