McAfee Išplėstinė grėsmių tyrimo komanda neseniai atrado, kad įsilaužėliai turi prieigą prie daugelio organizacijų, kurios turi silpnus kredencialus „Microsoft“ nuotolinio darbalaukio komponentas „Windows“ sistemose. Prieiga prie šių organizacijų – nesvarbu, ar tai oro uostas, ligoninė ar JAV vyriausybė – už mažus pinigus gali būti įsigyta konkrečiose tamsiojo interneto parduotuvėse.
„Microsoft“ nuotolinio darbalaukio protokolas (RDP) iš esmės leidžia prisijungti ir naudoti „Windows“ kompiuterį iš nuotolinės vietos. Kai šie prisijungimo duomenys yra silpni, įsilaužėliai gali naudoti brutalios jėgos atakas, kad gautų kiekvieno ryšio vartotojo vardą ir slaptažodį. „McAfee“ rado parduodamų jungčių įvairiose tamsiojo interneto KPP parduotuvėse, kurių skaičius svyruoja nuo 15 iki stulbinančių 40 000 jungčių.
Rekomenduojami vaizdo įrašai
„Reklamuojamos sistemos buvo nuo Windows XP iki Windows 10“, – sako Johnas Fokkeris, McAfee kibernetinių tyrimų vadovas. „Windows 2008 ir 2012 Server buvo gausiausios sistemos, kurių buvo parduodama atitinkamai apie 11 000 ir 6 500. Kainos svyravo nuo maždaug 3 USD už paprastą konfigūraciją iki 19 USD už didelio pralaidumo sistemą, kuri siūlo prieigą su administratoriaus teisėmis.
Meniu pateiktame įrenginių, paslaugų ir tinklų sąraše yra kelios vyriausybinės sistemos, parduodamos visame pasaulyje, įskaitant tas, kurios susietos su Jungtinėmis Valstijomis. Komanda rado ryšius su įvairiomis sveikatos priežiūros įstaigomis, įskaitant medicinos įrangos parduotuves, ligonines ir kt. Jie netgi rado prieigą prie saugumo ir pastatų automatizavimo sistemų dideliame tarptautiniame oro uoste, parduodančiame tik už 10 USD.
Problema sukasi ne tik apie stalinius kompiuterius, nešiojamieji kompiuteriai, ir serveriai. Daiktų interneto įrenginiai, pagrįsti Windows Embedded, taip pat yra meniu, pavyzdžiui, pardavimo taškų sistemos, kioskai, parkomatai, ploni klientų kompiuteriai ir kt. Daugelis jų yra nepastebimi ir neatnaujinami, todėl įsilaužėliams yra ramus įėjimas.
Juodosios rinkos pardavėjai įgyja KPP kredencialus, nuskaitydami internete sistemas, kurios priima KPP ryšius, ir tada naudokite tokius įrankius kaip „Hydra“, „NLBrute“ ir „RDP Forcer“, kad užpultumėte prisijungimą naudodami pavogtus kredencialus ir slaptažodį žodynai. Sėkmingai prisijungę prie nuotolinio kompiuterio, jie nieko nedaro, tik pateikia ryšio duomenis parduoti.
Sumokėję už ryšį įsilaužėliai gali priversti korporaciją ant kelių. Pavyzdžiui, įsilaužėlis gali sumokėti tik 10 USD už ryšį, įsiskverbti į tinklą, kad užšifruotų kiekvieno kompiuterio failus, ir reikalauti 40 000 USD išpirkos. Kompromituoti kompiuteriai taip pat gali būti naudojami šiukšlių siuntimui, neteisėtai veiklai nukreipti ir kriptovaliutai išgauti. Prieiga taip pat naudinga pavogti asmeninę informaciją ir įmonės komercines paslaptis.
„UAS parduotuvėje radome naujai paskelbtą Windows Server 2008 R2 Standard mašiną“, – rašo Fokker. „Pagal parduotuvės duomenis, ji priklausė JAV miestui ir vos už 10 USD galėjome gauti administratoriaus teises į šią sistemą. UAS Shop paslepia du paskutinius parduodamų sistemų IP adresų oktetus ir ima nedidelį mokestį už visą adresą.
„McAfee“ teigimu, sprendimas yra tas, kad organizacijos turi geriau patikrinti visas savo virtualias „duris ir langus“, kad įsilaužėliai negalėtų prasmukti. Nuotolinė prieiga turi būti saugi ir nesunkiai išnaudojama.
Redaktorių rekomendacijos
- Įsilaužėliai pavogė 1,5 milijono dolerių naudodami kredito kortelių duomenis, įsigytus tamsiajame internete
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
