Blog

Connexion à 1,3 million de serveurs Windows RDP provenant du marché des hackers – Bien installer son serveur

Le 21 avril 2021 , mis à jour le 4 septembre 2021 - 8 minutes de lecture


Bureau de contrôle à distance

Les noms de connexion et les mots de passe de 1,3 million de serveurs Windows Remote Desktop actuels et historiquement compromis ont été divulgués par UAS, le plus grand marché de hackers pour les informations d'identification RDP volées.

Avec cette fuite massive d'informations d'identification externes compromises, les chercheurs ont pour la première fois un aperçu d'une économie occupée en matière de cybercriminalité et peuvent utiliser les données pour relier les détails des cyberattaques précédentes.

Les administrateurs réseau bénéficieront également d'un nouveau service lancé par la société avancée de cybersécurité Intel appelée RDPwned, qui permet aux organisations de vérifier si leurs informations d'identification RDP ont été vendues sur le marché.

Quelle est la particularité de RDP?

Le protocole RDP (Remote Desktop Protocol) est une solution d'accès Microsoft à distance qui permet aux utilisateurs d'accéder à distance aux applications et aux bureaux sur un appareil Windows comme s'ils étaient assis devant un ordinateur.

En raison de leur utilisation courante dans les réseaux d'entreprise, les cybercriminels ont bâti une économie florissante autour de la vente d'informations d'identification volées aux serveurs RDP.

Bien que vous puissiez penser que l'accès à un réseau d'entreprise sera coûteux, la réalité est que les agents menaçants vendent des comptes de bureau à distance pour aussi peu que 3 $ et généralement pas plus de 70 $.

Lorsqu'un acteur de la menace accède à un réseau, il peut effectuer diverses activités malveillantes. Ces activités comprennent la diffusion du réseau, le vol de données, l'installation de logiciels malveillants (PDV) pour récolter des cartes de crédit, l'installation de portes dérobées pour un accès ultérieur ou la distribution de rançons.

L'utilisation des services Windows Remote Desktop pour briser les réseaux est si répandue que le FBI a déclaré que RDP est responsable de 70 à 80% de toutes les violations de réseau qui mènent à des attaques de ransomware.

Alors que tous les groupes de ransomwares utilisent RDP dans une certaine mesure, un groupe de ransomwares connu sous le nom de Dharma est connu pour utiliser principalement des postes de travail distants pour s'implanter dans les réseaux d'entreprise.

UAS, le plus grand marché pour les informations d'identification RDP

UAS, ou «  Ultimate Anonymity Services '', est un marché qui vend des informations d'identification Windows Remote Desktop, des numéros de sécurité sociale volés et l'accès aux serveurs proxy SOCKS.

Ce qui distingue UAS, c'est qu'il s'agit du plus grand marché, effectue une vérification manuelle des informations de compte RDP vendues, fournit un support client et fournit des conseils sur la façon de maintenir l'accès à distance à un ordinateur compromis.

«Le marché fonctionne en partie comme eBay – un certain nombre de fournisseurs travaillent avec le marché. Ils disposent de leur propre espace pour se connecter et télécharger les RDP qu'ils ont piratés. Le système les vérifiera ensuite, recueillera des informations sur chacun d'entre eux (nous, accès administrateur ? Vitesse Internet, CPU, mémoire, etc., etc.), qui est ajouté à l'entrée. "

"L'interface fournisseur fournit des statistiques en temps réel pour les vendeurs (ce qui a été vendu, ce qui n'a pas été vendu, mais des remboursements ont été demandés, etc.)."

«Ils fournissent également une assistance si ce que vous avez acheté pour une raison quelconque ne fonctionne pas. Ils prennent le support client au sérieux», a déclaré un chercheur en sécurité qui souhaitait garder l'anonymat de BleepingComputer.

Lors de l'achat de comptes RDP volés, les joueurs menaçants peuvent rechercher des appareils compromis dans un pays, un état, une ville, un code postal, un FAI ou un système d'exploitation spécifique afin de trouver le serveur spécifique dont ils ont besoin.

Serveurs RDP actuellement vendus sur le marché des UAS
Serveurs RDP actuellement vendus sur le marché des UAS

Les acheteurs potentiels peuvent approfondir chaque serveur pour voir le nombre de comptes Windows, la vitesse de connexion Internet, le matériel du serveur, etc., comme indiqué ci-dessous.

Spécifications du serveur RDP pour les acheteurs potentiels
Spécifications du serveur RDP pour les acheteurs potentiels

On a dit à BleepingComputer que le marché ne vendrait aucun serveur en Russie ou dans un pays de la Communauté des États indépendants (CEI) et exécute un script qui supprime automatiquement toute personne trouvée.

Même avec ce filtrage des serveurs, UAS vend actuellement 23 706 informations d'identification RDP.

Surveillance secrète du marché des UAS

Depuis décembre 2018, un groupe de chercheurs en sécurité dispose d'un accès secret à la base de données pour le marché des UAS et collecte les informations d'identification RDP depuis près de trois ans.

Au cours de cette période, les chercheurs ont collecté des adresses IP, des noms d'utilisateur et des mots de passe pour 1379609 comptes RDP vendus à UAS depuis fin 2018.

Cette base de données avait été partagée avec Advanced Intel Vitali Kremez, qui a également partagé une copie modifiée avec BleepingComputer pour examen.

Bien que nous ne souhaitions répertorier aucune des entreprises de la base de données, nous pouvons dire que les serveurs RDP répertoriés proviennent du monde entier, y compris des agences gouvernementales de soixante-trois pays, le Brésil, l'Inde et les États-Unis étant les trois premiers. .

Il existe également des serveurs RDP pour de nombreuses entreprises bien connues et de haut niveau, avec de nombreux serveurs du secteur de la santé.

De plus, BleepingComputer a trouvé beaucoup Serveurs RDP dans la base de données appartenant à des organisations connues pour avoir subi des attaques de ransomware au cours des deux dernières années.

Après avoir analysé les 1,3 million de comptes de la base de données, BleepingComputer a extrait des données intéressantes qui devraient être utiles à tous les utilisateurs d'ordinateurs et administrateurs réseau:

  • Les cinq principaux noms de connexion trouvés dans les serveurs RDP vendus sont & # 39;Administrateur& # 39 ;, & # 39;Administrateur& # 39 ;, & # 39;Utilisateur& # 39 ;, & # 39;test& # 39; et & # 39;le scanner& # 39;.
  • Les cinq principaux mots de passe utilisés par les serveurs RDP sont & # 39;123456& # 39 ;, & # 39;123& # 39 ;, & # 39;P @ ssw0rd& # 39 ;, & # 39;1234& # 39; et & # 39;Mot de passe 1& # 39;.
  • Les cinq pays les mieux représentés dans la base de données sont États Unis, Chine, Brésil, Allemagne, Inde, et Grande Bretagne.

Des statistiques plus complètes peuvent être trouvées à la fin de l'article.

RDPwned: vérifie si RDP est compromis

Vitali Kremez a lancé un nouveau service appelé RDPwned qui permet aux entreprises et à leurs administrateurs de vérifier si leurs serveurs sont répertoriés dans la base de données.

«Le marché est lié à un certain nombre d'infractions et de cas de ransomwares de grande envergure à travers le monde. On sait qu'un certain nombre de groupes de ransomwares achètent un accès initial aux UAS. ce fruit peu en suspens, comme de mauvais mots de passe et un RDP exposé à Internet, reste l’une des principales causes de violations »,

"RDPwned aidera également à faire la lumière sur d'anciennes brèches auxquelles ils n'ont jamais eu accès à l'origine. Pour d'autres, cela leur donnera une chance de corriger la vulnérabilité avant qu'il y ait une brèche", a déclaré Kremez à BleepingComputer.

Pour utiliser le service, Kremez a déclaré à BleepingComputer que les entreprises devaient envoyer les informations de contact d'un directeur ou d'un administrateur de l'entreprise, dont Advanced Intel souhaite que le vétérinaire.

Une fois l'identité de l'utilisateur vérifiée, Advanced Intel vérifiera que les serveurs de l'entreprise sont répertoriés dans RDPwned.

Les visiteurs peuvent effectuer cette recherche via DNS inversé, adresses IP et noms de domaine.

Statistiques supplémentaires

Vous trouverez ci-dessous des statistiques supplémentaires qui montrent les 20 meilleurs noms de connexion, les 20 mots de passe les plus importants et les 10 meilleurs pays trouvés dans 1,3 million de serveurs RDP répertoriés sur le marché par UAS.

Top 20 des noms de connexion

Nom de connexion utilisé Somme des contours
Administrateur 303 702
Administrateur 59 034
Utilisateur 45 096
test 30 702
le scanner 20 876
analyse 16 087
Invité 12 923
IME_ADMIN 9 955
utilisateur1 8 631
Administrateur 8 612
Entrepreneur 8 608
postgres 5 853
IME_USER 5667
Utilisateur 5 236
utilisateur2 4 055
Passv 3 989
utilisateur de test 3 969
test1 3 888
serveur 3 754
élève 3 592
réception 3 482
sauvegarde 3 356
openpgsvc 3 339
Info 3 156
VPN 3 139

Top 20 des mots de passe

Mot de passe utilisé Somme des contours
123456 71 639
123 50 449
P @ ssw0rd 47 139
1234 34 825
Mot de passe 1 27 007
1 24 955
le mot de passe 19 148
12345 16 522
admin 15 587
ffff-ffc0M456x (voir la note) 15 114
Administrateur @ 123 13 572
Utilisateur 13 437
le scanner 13 193
analyse 10 409
test 10 169
Aa123456 9 399
Mot de passe123 8 756
12345678 8 647
Administrateur123 8 214
Passw0rd 7817
admin, .123! @ # $% ^ 7 027
1qaz @ WSX 6 248
Bienvenue1 5 962
P @ ssword64 5 522
abc @ 123 4 958

Remarque: le mot de passe & # 39; ffff-ffc0M456x & # 39; semble être un mot de passe par défaut configuré par l'utilitaire de configuration MailEnable pour l'accès à distance. Les utilisateurs sont invités à changer ce mot de passe en autre chose.

Top 10 des pays

Pays Total des comptes
États Unis 299 529
Chine 201 847
Brésil 119 959
Allemagne 56 225
Inde 41 588
Grande Bretagne 37 810
France 32 738
Espagne 30 312
Canada 27 347
Hong Kong 24 804