Cómo una campaña de ataque roba y vende credenciales de RDP


Un hacker conocido como TrueFighter ha estado vendiendo activamente cuentas de Protocolo de Escritorio Remoto comprometidas en la Dim Internet, dice Nuspire.

rdp-edit.jpg

Imagen: iStockphoto / stevanovicigor

Con tanta gente que sigue trabajando desde casa, las organizaciones y los empleados dependen más que nunca del acceso remoto a las redes y Pc internas. Eso significa más usuarios que necesitan acceder a las cuentas del Protocolo de escritorio remoto (RDP), lo que las hace más ubicuas y vulnerables.

Descubierta por la firma de seguridad Nuspire, una campaña que ha resurgido últimamente toma credenciales o acceso de RDP y luego las vende en foros clandestinos. en un entrada de site publicada el lunes, Nuspire describe cómo opera esta campaña.

VER: Cómo trabajar desde casa: guía para profesionales de TI sobre teletrabajo y trabajo remoto (TechRepublic Top quality)

Un atacante apodado TrueFighter tiene un historial de piratear redes, robar credenciales de RDP y luego venderlas con fines de lucro en la Darkish Website. Este atacante puede apuntar a cualquier tipo de organización, pero se centra principalmente en las de la industria de la salud. Visto por primera vez en octubre de 2014, la campaña ha provocado recientemente un aumento en la actividad, según Nuspire.

TrueFighter puede ser una sola entidad o un grupo completo, pero la investigación de Nuspire sugiere que es un solo actor. Activo en varios foros y comunidades clandestinos, TrueFighter se especializa en la venta de cuentas RDP comprometidas a través de las cuales los compradores obtienen acceso administrativo remoto a las redes de las organizaciones afectadas.

Aunque el sector de la salud es un objetivo well known, TruFighter ha vendido credenciales de RDP de otros tipos de organizaciones, incluidos un hospital de EE. UU., Un gran hospital de la UE, un distrito de agua de EE. UU., Un bufete de abogados de EE. UU., Una organización de construcción de EE. UU., Una gran casa de empeño de EE. UU. una universidad médica japonesa, una organización médica brasileña y una gran empresa en el Reino Unido.

El acceso RDP expuesto y vulnerable se puede descubrir fácilmente a través de sitios como Shodan.io, un motor de búsqueda para dispositivos de Web de las cosas (IoT). Con Shodan.io, Nuspire encontró más de 4,3 millones de conexiones RDP expuestas, el 30% de las cuales estaban en EE. UU. Los piratas informáticos pueden utilizar un marco de explotación como FuzzBunch y una explotación de puerta trasera como DoublePulsar para comprometer esas conexiones RDP descubiertas.

TrueFighter vende principalmente acceso common a credenciales RDP robadas. Pero en algunos casos ha ofrecido la posibilidad de escalar estas cuentas al acceso de administrador de dominio, por una tarifa adicional, por supuesto. En otros casos, TrueFighter simplemente puede entrar en una purple y luego vender la conexión actual a otros delincuentes. Esa táctica ayuda a garantizar que el atacante no pase demasiado tiempo en la crimson donde podría ser detectado, perdiendo así el acceso.

Para ayudar a su organización a protegerse contra los ataques de credenciales RDP, Nuspire ofrece los siguientes consejos:

  1. Restrinja el acceso a las conexiones RDP a fuentes confiables.
  2. Audite los registros de conectividad en busca de conexiones desconocidas.
  3. Implemente la autenticación de dos factores para los inicios de sesión RDP.
  4. Audite las cuentas administrativas con regularidad para asegurarse de que los permisos de las cuentas inesperadas no se hayan elevado a cuentas de administrador.

Ver también



Enlace a la noticia authentic