Filtran más de 1 millón de credenciales de servidores Windows RDP
Los nombres de inicio de sesión y las contraseñas de 1.3 millones de servidores de escritorio remoto de Windows actuales e históricamente comprometidos han sido filtrados por UAS. UAS es el mercado más grande de ciberdelincuentes para credenciales RDP robadas.
Con esta filtración masiva de credenciales de acceso remoto comprometidas, los investigadores pueden realizar análisis más profundos. Por primera vez, pueden vislumbrar una dinámica sobre la economía del ciberdelito y pueden usar los datos para atar cabos sueltos en ciberataques anteriores.
Los administradores de red también pueden beneficiarse de un nuevo servicio lanzado por la firma de ciberseguridad Advanced Intel llamado RDPwned. RDPwned permite a las organizaciones verificar si sus credenciales RDP se han vendido en el mercado oscuro.
¿Qué tiene de especial RDP?
El Protocolo de escritorio remoto (RDP) es una solución de acceso remoto de Microsoft. Este servicio permite a los usuarios acceder de forma remota a las aplicaciones y el escritorio de un dispositivo Windows. Puedes acceder como si estuvieras sentado frente a la computadora.
Debido a su uso frecuente en redes corporativas, los ciberdelincuentes han construido una economía próspera en torno a la venta de credenciales robadas para servidores RDP.
Si bien puedes pensar que el acceso a una red corporativa sería costoso, la realidad es diferente. Los actores de amenazas venden cuentas de escritorio remoto por tan solo $3 y, por lo general, no más de $70.
Una vez que un actor de amenazas obtiene acceso a una red, puede realizar una variedad de actividades maliciosas. Estas actividades incluyen la propagación por toda la red, el robo de datos, la instalación de malware en puntos de ventas (POS). Esta última acción tiene el objetivo de recolectar tarjetas de crédito. Los ciberdelincuentes también pueden instalar puertas traseras para un mayor acceso o pueden implementar ransomware.
El uso de los servicios de escritorio remoto de Windows para vulnerar redes es muy común. El FBI ha declarado que RDP es responsable del 70-80% de todas las infracciones de red que conducen a ataques de ransomware.
Si bien todos los grupos de ransomware utilizan RDP hasta cierto punto, existe un grupo de ransomware que lo ha convertido en su favorito. Hasta donde tenemos entendido, el grupo de ransomware conocido como Dharma utiliza predominantemente el escritorio remoto para afianzarse en las redes corporativas.
UAS, el mercado más grande de credenciales RDP
UAS, o ‘Ultimate Anonymity Services’, es un mercado que se caracteriza por vender credenciales de inicio de sesión de Windows Remote Desktop. En este mercado clandestino también se venden números de seguridad social robados y acceso a servidores proxy SOCKS.
Lo que hace que UAS se destaque es que es el mercado más grande y realiza verificación manual de las credenciales de cuentas RDP vendidas. Además, ofrece soporte al cliente y brinda consejos sobre cómo mantetener el acceso remoto a una computadora comprometida.
El sitio funciona parcialmente como eBay: varios proveedores trabajan con el sitio. Tienen un lugar separado para iniciar sesión y cargar los RDP´s que hackearon. El sistema luego los verifica, recopila información sobre cada uno. Por ejemplo, sistema operativo, acceso de administrador, velocidad de Internet, CPU, memoria, etc., etc. Posteriormente, estos datos son agregados a la lista.
La interfaz proporciona estadísticas en tiempo real para los proveedores (qué se vendió, qué no, qué se vendió, pero se solicitó un reembolso, etc.).
También brindan soporte si por alguna razón lo que compraste no funciona. Se toman en serio el soporte al cliente. Esto según lo expresado por un investigador de seguridad que desea permanecer en el anonimato.
Al comprar cuentas de RDP robadas, los actores de amenazas pueden buscar dispositivos comprometidos en un país, estado, ciudad, código postal e ISP. También pueden buscar por un sistema operativo en particular, lo que les permite encontrar el servidor específico que necesitan.
Los compradores potenciales pueden profundizar en cada servidor para ver la cantidad de cuentas de Windows y la velocidad de la conexión a Internet. También pueden verificar el hardware del servidor y otros detalles, tal como se muestra a continuación.
Excepciones
Hay que destacar que el sitio no vende ningún servidor ubicado en Rusia o en un país de la Comunidad de Estados Independientes (CEI). El sitio ejecuta un script que elimina automáticamente los que se encuentran en esos países.
Incluso con este filtrado de servidores, UAS está vendiendo actualmente 23,706 credenciales RDP masivas.
Monitoreo secreto del sitio de UAS
Desde diciembre de 2018, un grupo de investigadores de seguridad ha tenido acceso secreto a la base de datos del sitio de UAS. Los investigadores han estado recopilando discretamente las credenciales RDP vendidas durante casi tres años.
Durante este período de tiempo, los investigadores han recopilado las direcciones IP´s, los nombres de usuario y las contraseñas de 1,379,609 cuentas de RDP’s. Estas cuentas son las que se han vendido en UAS desde finales de 2018.
Esta base de datos ha sido compartida con Vitali Kremez de Advanced Intel, quien también compartió una copia redactada para su revisión.
Si bien no mencionaremos ninguna de las empresas que se encuentran en la base de datos, podemos decir que los servidores RDP´s son de todo el mundo. La base de datos incluye agencias gubernamentales de sesenta y tres países, siendo Brasil, India y Estados Unidos los que aparecen en el podio.
También hay servidores RDP´s para muchas empresas conocidas y de alto perfil, con muchos servidores de la industria de la salud.
Además, hemos encontrado muchos servidores RDP´s en la base de datos que pertenecen a organizaciones que han sufrido ataques de ransomware en los últimos años.
Después de analizar los 1.3 millones de cuentas en la base de datos, hemos extraído algunos datos interesantes. Estos datos deberían ser útiles para todos los usuarios de computadoras y administradores de red:
- Los cinco nombres de inicio sesión más comunes que se encuentran en los servidores RDP´s vendidos son ‘Administrator‘, ‘Admin‘, ‘User‘, ‘test‘ y ‘scanner‘.
- Las cinco contraseñas más utilizadas en los servidores RDP son ‘123456’, ‘123’, ‘P@ssw0rd’, ‘1234’, y ‘Password1’.
- Los cinco más comunes encontrados en la base de datos son Estados Unidos, China, Brasil, Alemania, India y Reino Unido.
Si quieres estadísticas más completas las puedes encontrar al final del artículo.
RDPwned – Verificando si tu RDP está comprometido
Vitali Kremez ha lanzado un nuevo servicio llamado RDPwned. RDPwned permite a las empresas y a sus administradores comprobar si sus servidores figuran en la base de datos.
El sitio está vinculado a una serie de casos de ransomware e infracciones de alto perfil en todo el mundo. Sabemos que varios grupos de ransomware compran el acceso inicial en UAS. Este tesoro de datos del espacio del adversario proporciona una perspectiva del ecosistema del ciberdelito. Y, confirman que las frutas que están al alcance de la mano, como las contraseñas deficientes, y el RDP expuesto a Internet, siguen siendo una de las principales causas de infracciones.
“RDPwned también ayudará a esclarecer las viejas infracciones para las que nunca descubrieron el acceso inicial. Para otros, les dará la oportunidad de resolver el problema de seguridad antes de que se convierta en una brecha”.
Kremez
Para utilizar el servicio, Kremez dijo que las empresas tendrían que enviar la información de contacto de un ejecutivo o administrador de la empresa. La información enviada será revisada por Advanced Intel.
Una vez que se verifique la identidad del usuario, Advanced Intel confirmará si los servidores de su empresa están listados en RDPwned.
Los visitantes pueden realizar esta búsqueda a través de DNS inversos, direcciones IP´s y nombres de dominio.
Más estadísticas
A continuación, te mostramos más estadísticas que muestran los primeros 20 nombres de inicio de sesión más comunes y las 20 contraseñas más comunes. También verás los primeros 10 países que se encuentran en los 1.3 millones de servidores RDP que UAS ha incluido en el sitio.
Los 20 nombres de inicio de sesión más comunes
Nombre de inicio de sesión usado | Total de cuentas |
Administrator | 303,702 |
Admin | 59,034 |
User | 45,096 |
test | 30,702 |
scanner | 20,876 |
scan | 16,087 |
Guest | 12,923 |
IME_ADMIN | 9,955 |
user1 | 8,631 |
Administrador | 8,612 |
Trader | 8,608 |
postgres | 5,853 |
IME_USER | 5,667 |
Usuario | 5,236 |
user2 | 4,055 |
Passv | 3,989 |
testuser | 3,969 |
test1 | 3,888 |
server | 3,754 |
student | 3,592 |
reception | 3,482 |
backup | 3,356 |
openpgsvc | 3,339 |
info | 3,156 |
VPN | 3,139 |
Las 20 contraseñas más utilizadas
Contraseña usada | Total de cuentas |
123456 | 71,639 |
123 | 50,449 |
P@ssw0rd | 47,139 |
1234 | 34,825 |
Password1 | 27,007 |
1 | 24,955 |
password | 19,148 |
12345 | 16,522 |
admin | 15,587 |
ffff-ffc0M456x (ver nota) | 15,114 |
Admin@123 | 13,572 |
User | 13,437 |
scanner | 13,193 |
scan | 10,409 |
test | 10,169 |
Aa123456 | 9,399 |
Password123 | 8,756 |
12345678 | 8,647 |
Admin123 | 8,214 |
Passw0rd | 7,817 |
admin,.123!@#$%^ | 7,027 |
1qaz@WSX | 6,248 |
Welcome1 | 5,962 |
P@ssword64 | 5,522 |
abc@123 | 4,958 |
Nota: La contraseña ‘ffff-ffc0M456x’ parece ser una contraseña predeterminada configurada por el programa de instalación de MailEnable para acceso remoto. Recomendamos a los usuarios que cambien esta contraseña por otra.
Los 10 países más afectados
País | Total de cuentas |
Estados Unidos | 299,529 |
China | 201,847 |
Brasil | 119,959 |
Alemania | 56,225 |
India | 41.588 |
Reino Unido | 37,810 |
Francia | 32,738 |
España | 30,312 |
Canadá | 27,347 |
Hong Kong | 24,804 |