Flashpoint, una società di sicurezza per la ricerca, ha scoperto che gli hacker hanno compromesso oltre 35.000 protocolli desktop remoti (RDP) e li stanno utilizzando come un modo per rendere anonimi gli attacchi informatici, incluso l’accesso diretto alla rete della vittima.
In un’analisi pubblicata il 24 ottobre, Flashpoint ha dichiarato che oltre 35.000 server che ospitano desktop remoti per varie aziende sono stati compromessi da un gruppo dell’Europa orientale e stavano vendendo l’accesso ai computer privati per un minimo di $ 15 ciascuno. Ulteriori rapporti hanno definito il gruppo Ultimate Anonymity Services (UAS), un gruppo russo che ha un mercato nel dark web.
I server RDP (Remote Desktop Protocol) che sono stati compromessi consentono a un gruppo di hacker di offrire servizi anonimi e di accedere a qualsiasi tipo di informazioni sui server. Il protocollo desktop remoto (RDP) è stato sviluppato da Microsoft e aiuta ad accedere al sistema di un altro utente attraverso un sistema di rete. Un client RDP viene utilizzato dalle macchine che effettuano la connessione, con quelle che accedono utilizzando un server RDP.
È anche un modo comune in cui le aziende offrono accesso desktop remoto.
Ma quando gli aggressori compromettono il server e l’autenticazione a 2 fattori non è abilitata, il software RDP diventa fondamentalmente un virus Trojan remoto e ottiene l’accesso alle aree più protette della macchina.
In un post sul blog dell’azienda che dettaglia la ricerca, l’analista di Flashpoint Olivia Rowley e il direttore della ricerca Vitali Kremez hanno spiegato che:
“Ciò potrebbe potenzialmente consentire agli attori di accedere a documenti o risorse interni proprietari, nonché punti di ingresso in cui lasciare cadere vari carichi utili.”
“Tutti i tipi di dati possono essere rubati tramite RDP compromessi. I cyber-estorsori hanno probabilmente utilizzato i PSR al fine di sottrarre informazioni personali identificabili e altri dati sensibili da parte di clienti di una varietà di aziende “, ha aggiunto Olivia Rowley.
Cina, India e Brasile erano i tre paesi che rappresentavano i server più compromessi, con quasi il numero di server compromessi. Gli Stati Uniti avevano anche centinaia di server che erano stati compromessi.
“I server RDP compromessi sono utilizzati sia come strumenti di anonimato che, spesso, come mezzo per fornire accesso diretto alle reti delle vittime”, ha continuato Rowley nel blog online. “Negli ultimi anni, gli analisti di Flashpoint hanno scoperto che vari servizi di ospitalità, vendita al dettaglio e servizi di pagamento online sono stati violati a causa di organizzazioni criminali che utilizzano accessi RDP ottenuti in modo fraudolento.”
Tuttavia, molti di loro avevano gli stessi codici postali, il che faceva nascere il sospetto che gli hacker sfruttassero il protocollo desktop remoto (RDP) di una società specifica all’interno di una determinata area geografica.
Le aziende sanitarie, le istituzioni educative e le agenzie governative avevano i server più infetti.
Inoltre, un ricercatore di IBM ha raccontato come il suo ufficio di casa sia stato quasi violato a causa di questo attacco.
“Se non fossi stato lì per contrastare l’attacco, chissà cosa sarebbe stato realizzato. Invece di discutere di come sono stato quasi hackerato, parlerei delle gravi implicazioni della perdita di dati personali “, ha affermato.
Il post sul blog online ha anche detto che Flashpoint ha scoperto decine di migliaia di server RDP compromessi che stavano vendendo a $ 3- $ 10 ciascuno di UAS con server appena compromessi o con una porta aperta 25 che costava un po ‘di più. Nessuno dei prezzi, tuttavia, ha superato $ 15.
I rapporti hanno anche affermato che UAS era nuovo nel gioco e solo a partire da febbraio hanno iniziato a vendere l’accesso ai server RDP compromessi. Il blog online ha descritto che i prezzi degli UAS sono inferiori a quelli di un altro marketplace russo dark xDedic, che è uno dei principali attori del settore. I loro prezzi variavano da $ 10 a $ 100, un importo significativamente più alto di quello di UAS.
“Complessivamente, Flashpoint valuta con moderata fiducia che i prezzi bassi degli UAS possono contribuire alla crescente popolarità del negozio tra i criminali informatici”, hanno affermato Rowley e Kremez.
“In effetti, la previsione predittiva degli analisti di Flashpoint ha determinato che l’interesse dei cybercriminali negli UAS probabilmente continuerà a crescere”.