Эксперты похитили с хакерской торговой площадки учетные данные для 1,3 млн RDP-серверов

Исследователи в области безопасности похитили с хакерской торговой площадки Ultimate Anonymity Services (UAS) учетные данные 1,3 млн RDP-серверов.

Протокол удаленного рабочего стола (Remote Desktop Protocol) — решение Microsoft для удаленного доступа к приложениям и рабочему столу устройств под управлением Windows. Из-за широкого использования в корпоративных сетях киберпреступники построили процветающую экономику на продаже украденных учетных данных для RDP-серверов.

Получив доступ к сети, злоумышленник может выполнять вредоносные действия, включая перемещение по сети, кражу данных, установку вредоносных программ на PoS-терминалы для хищения данных с кредитных карт, установку бэкдоров или программ-вымогателей.

UAS представляет собой крупнейшую торговую площадку по продаже учетных данных RDP-серверов, украденных номеров социального страхования и доступа к прокси-серверам SOCKS. UAS вручную выполняет проверку продаваемых учетных данных, предлагает поддержку клиентов и дает советы о том, как сохранить удаленный доступ к скомпрометированному компьютеру.

Торговая площадка не продает доступ к RDP-серверам, расположенным в России или странах СНГ. Специальный скрипт автоматически удаляет все найденные серверы в данных регионах.

С декабря 2018 года группа исследователей безопасности имела секретный доступ к базе данных рынка UAS и в течение трех лет незаметно похищала проданные учетные данные для RDP-серверов. Эксперты получили IP-адреса, логины и пароли для 1 379 609 учетных записей, проданных на UAS с конца 2018 года. Базу данных специалисты передали Виталию Кремезу из ИБ-компании Advanced Intel.

Указанные в базе данных RDP-серверы находятся по всему миру, включая государственные учреждения шестидесяти трех стран, в том числе Бразилии, Индии и США. В базе также есть доступ к RDP-серверам известных компаний, в том числе в сфере здравоохранения.

Как сообщило издание Bleeping Computer, самыми распространенными логинами для авторизации в RDP-серверах оказались «Administrator», «Admin», «User», «test» и «scanner». В пятерку наиболее популярных паролей вошли «123456», «123», «P@ssw0rd», «1234» и «Password1».

Виталий Кремез запустил сервис под названием RDPwned, позволяющий компаниям и администраторам проверить, указаны ли их серверы в базе данных. RDPwned поможет выявить старые случаи взлома, которые так и не были обнаружены.