McAfee Equipe de pesquisa avançada de ameaças descobriu recentemente que hackers têm acesso a muitas organizações que possuem credenciais fracas ao usar Componente Área de Trabalho Remota da Microsoft em sistemas baseados em Windows. O acesso a essas organizações – seja um aeroporto, um hospital ou o governo dos EUA – pode ser adquirido por pouco dinheiro em lojas específicas na dark web.
O Remote Desktop Protocol (RDP) da Microsoft permite essencialmente conectar e usar um PC baseado em Windows a partir de um local remoto. Quando essas credenciais de login são fracas, os hackers podem usar ataques de força bruta para obter o nome de usuário e a senha de cada conexão. A McAfee encontrou conexões à venda em várias lojas RDP na dark web, variando entre apenas 15 e impressionantes 40.000 conexões.
Vídeos recomendados
“Os sistemas anunciados variavam do Windows XP ao Windows 10”, diz John Fokker, chefe de investigações cibernéticas da McAfee. “O Windows 2008 e o 2012 Server foram os sistemas mais abundantes, com cerca de 11.000 e 6.500, respectivamente, à venda. Os preços variavam de cerca de US$ 3 para uma configuração simples a US$ 19 para um sistema de alta largura de banda que oferecia acesso com direitos de administrador.”
Entre a lista de dispositivos, serviços e redes do menu estão vários sistemas governamentais à venda em todo o mundo, incluindo aqueles ligados aos Estados Unidos. A equipe encontrou conexões com diversas instituições de saúde, incluindo lojas de equipamentos médicos, hospitais e muito mais. Eles até encontraram acesso a sistemas de segurança e automação predial em um grande aeroporto internacional, vendido por apenas US$ 10.
O problema não gira apenas em torno dos desktops, notebookse servidores. Dispositivos de Internet das Coisas baseados em Windows Embedded também estão no menu, como sistemas de ponto de venda, quiosques, parquímetros, PCs thin client e muito mais. Muitos são esquecidos e não atualizados, o que os torna uma porta de entrada silenciosa para hackers.
Os vendedores do mercado negro obtêm credenciais RDP examinando a Internet em busca de sistemas que aceitem conexões RDP e em seguida, use ferramentas como Hydra, NLBrute e RDP Forcer para atacar o login usando credenciais e senha roubadas dicionários. Depois de fazer login com sucesso no PC remoto, eles não fazem nada além de colocar os detalhes da conexão à venda.
Depois que os hackers pagam por uma conexão, eles podem colocar uma empresa de joelhos. Por exemplo, um hacker poderia pagar apenas US$ 10 por uma conexão, infiltrar-se na rede para criptografar os arquivos de cada PC e exigir um resgate de US$ 40.000. Os PCs comprometidos também podem ser usados para entregar spam, direcionar atividades ilegais incorretamente e minerar criptomoedas. O acesso também é bom para roubar informações pessoais e segredos comerciais da empresa.
“Encontramos uma máquina Windows Server 2008 R2 Standard recém-lançada na UAS Shop”, escreve Fokker. “De acordo com os detalhes da loja, ele pertencia a uma cidade dos Estados Unidos e por apenas US$ 10 poderíamos obter direitos de administrador para este sistema. A UAS Shop esconde os dois últimos octetos dos endereços IP dos sistemas que coloca à venda e cobra uma pequena taxa pelo endereço completo.”
A solução, de acordo com a McAfee, é que as organizações precisam fazer um trabalho melhor na verificação de todas as suas “portas e janelas” virtuais para que os hackers não possam entrar furtivamente. O acesso remoto deve ser seguro e não facilmente explorável.
Recomendações dos Editores
- Hackers roubaram US$ 1,5 milhão usando dados de cartão de crédito comprados na dark web
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.