Las credenciales para el inicio de sesión de 1.3 millones de servidores de escritorio remoto de Windows se encuentra en venta en UAS (Ultimate Anonymity Services), un portal de piratas informáticos.
El Protocolo de Escritorio Remoto (RDP) es una solución de Microsoft que permite a los usuarios, principalmente a los administradores de sistemas, el acceso remoto a la computadora, y poder trabajar en ella como si estuvieran de frente a la computadora.
UAS es una tienda clandestina popular que vende credenciales para el acceso RDP para sistemas Windows, desde Windows XP hasta Windows 10. También vende números de seguro social robados y acceso a servidores proxy SOCKS. Se destaca de otros portales porque realiza la verificación manual de las credenciales de cuentas RDP vendidas, ofrece soporte al cliente y brinda consejos sobre cómo retener el acceso remoto a una computadora comprometida.
El ciberdelincuente que compre las credenciales en venta podría iniciar ataques e introducirse en la red de las empresas vulnerables por la filtración de la cuenta y contraseña RDP. El atacante podria acceder sin restricción alguna en la red corporativa. Podría robar datos, instalar malware, ransomware, además de otras actividades maliciosas. El valor de una credencial RDP -cuenta y contraseña- varía entre $3 y $70 USD.
Al comprar cuentas RDP robadas, los ciberdelincuentes pueden buscar dispositivos comprometidos en un país, estado, ciudad, código postal, ISP o sistema operativo en particular, lo que les permite encontrar el servidor específico que necesitan, inclusive consultando la cantidad de cuentas de Windows, la velocidad de la conexión a Internet, el hardware del servidor y más.
De acuerdo con BleepingComputer, desde diciembre de 2018 un grupo de investigadores de seguridad ha monitoreado las ventas de credenciales RDP en UAS y han recopilado las direcciones IP, los nombres de usuario y las contraseñas, de 1,379,609 cuentas RDP que se han vendido en UAS. Son credenciales de servidores RDP de todo el mundo, incluídas agencias gubernamentales de 63 países, siendo Brasil, India y Estados Unidos los tres primeros, así como servidores RDP de organizaciones que han sufrido ataques de ransomware en los últimos dos años.
Al analizar las 1.3 millones de credenciales, BleepingComputer encontró que:
- Los cinco nombres de inicio de sesión más utilizados son ‘Administrator’, ‘Admin’, ‘User’, ‘test’ y ‘scanner’.
- Las cinco contraseñas más utilizadas son ‘123456’, ‘123’, ‘P@ssw0rd’, ‘1234’ y ‘Password1’.
- Los cinco países más representados son Estados Unidos, China, Brasil, Alemania, India y Reino Unido.
Además de aplicar medidas para proteger el acceso RDP, está disponible el sitio RDPwned, desarrollado por Vitali Kremez, de la empresa de seguridad Advanced Intel, para que las empresas y los administradores de sistemas puedan verificar si sus credenciales RDP se encuentran en la base de datos de UAS. El sitio requiere que se envíe la información de contacto de un ejecutivo o administrador de sistemas de la empresa, y que una vez verificada dicha información, Advanced Intel confirmará si los servidores de su empresa están listados en RDPwned.