McAfee Zespół zaawansowanego badania zagrożeń niedawno odkryłem, że hakerzy mają dostęp do wielu organizacji, które podczas korzystania z nich mają słabe dane uwierzytelniające Komponent Remote Desktop firmy Microsoft w systemach opartych na systemie Windows. Dostęp do tych organizacji – niezależnie od tego, czy jest to lotnisko, szpital czy rząd USA – można kupić za niewielkie pieniądze za pośrednictwem określonych sklepów w ciemnej sieci.
Protokół Remote Desktop Protocol (RDP) firmy Microsoft zasadniczo umożliwia podłączenie komputera z systemem Windows i korzystanie z niego ze zdalnej lokalizacji. Gdy te dane logowania są słabe, hakerzy mogą zastosować ataki typu brute-force w celu uzyskania nazwy użytkownika i hasła dla każdego połączenia. Firma McAfee znalazła na sprzedaż połączenia w różnych sklepach RDP w ciemnej sieci, od zaledwie 15 do oszałamiającej liczby 40 000 połączeń.
Polecane filmy
„Reklamowane systemy obejmowały systemy od Windows XP do Windows 10” – mówi John Fokker, szef działu Cyber Investigations firmy McAfee. „Najwięcej systemów Windows 2008 i 2012 Server było w sprzedaży – odpowiednio około 11 000 i 6500 sztuk. Ceny wahały się od około 3 dolarów za prostą konfigurację do 19 dolarów za system o dużej przepustowości oferujący dostęp z uprawnieniami administratora.
Wśród listy urządzeń, usług i sieci znajdujących się w menu znajduje się wiele systemów rządowych dostępnych w sprzedaży na całym świecie, w tym te powiązane ze Stanami Zjednoczonymi. Zespół znalazł kontakty z różnymi instytucjami opieki zdrowotnej, w tym ze sklepami ze sprzętem medycznym, szpitalami i nie tylko. Udało im się nawet uzyskać dostęp do systemów bezpieczeństwa i automatyki budynków na dużym międzynarodowym lotnisku, które można było nabyć za jedyne 10 dolarów.
Problem nie dotyczy tylko komputerów stacjonarnych, laptopyi serwery. W menu znajdują się również urządzenia Internetu rzeczy oparte na systemie Windows Embedded, takie jak systemy punktów sprzedaży, kioski, parkometry, komputery typu cienki klient i nie tylko. Wiele z nich jest pomijanych i niezaktualizowanych, co czyni je cichym wejściem dla hakerów.
Sprzedawcy z czarnego rynku uzyskują dane uwierzytelniające RDP, skanując Internet w poszukiwaniu systemów akceptujących połączenia RDP następnie użyj narzędzi takich jak Hydra, NLBrute i RDP Forcer, aby zaatakować login przy użyciu skradzionych danych uwierzytelniających i hasła słowniki. Po pomyślnym zalogowaniu się do zdalnego komputera nie robią nic poza wystawieniem na sprzedaż szczegółów połączenia.
Gdy hakerzy zapłacą za połączenie, mogą rzucić korporację na kolana. Na przykład haker może zapłacić zaledwie 10 dolarów za połączenie, zinfiltrować sieć w celu zaszyfrowania plików każdego komputera i zażądać okupu w wysokości 40 000 dolarów. Zaatakowane komputery mogą być również wykorzystywane do dostarczania spamu, fałszywego kierowania nielegalnych działań i wydobywania kryptowaluty. Dostęp jest również dobry do kradzieży danych osobowych i tajemnic handlowych firmy.
„W sklepie UAS Shop znaleźliśmy nowo opublikowaną maszynę z systemem Windows Server 2008 R2 Standard” – pisze Fokker. „Według danych sklepu należał on do miasta w Stanach Zjednoczonych i za jedyne 10 dolarów mogliśmy uzyskać uprawnienia administratora tego systemu. Sklep UAS ukrywa dwa ostatnie oktety adresów IP systemów, które oferuje do sprzedaży i pobiera niewielką opłatę za pełny adres.
Rozwiązanie według McAfee polega na tym, że organizacje muszą skuteczniej sprawdzać wszystkie swoje wirtualne „drzwi i okna”, aby hakerzy nie mogli się wkraść. Zdalny dostęp powinien być bezpieczny i niemożliwy do łatwego wykorzystania.
Zalecenia redaktorów
- Hakerzy ukradli 1,5 miliona dolarów, korzystając z danych karty kredytowej zakupionych w ciemnej sieci
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
